Een nieuwe kwetsbaarheid in de OpenAI Codex CLI is ontdekt, waarbij een aanvaller misbruik kan maken van project-specifieke configuratiebestanden om willekeurige commando’s uit te voeren. Codex CLI, een tool die bedoeld is om de ontwikkelworkflow te ondersteunen met AI-ondersteunde redenering en interactie via de commandoregel, heeft een probleem in de manier waarop het projectgebonden configuratiebestanden verwerkt.

Tijdens tests werd ontdekt dat Codex CLI project-specifieke configuraties, zoals .env-bestanden en de bijbehorende ./.codex/config.toml, automatisch laadt en uitvoert wanneer het project wordt uitgevoerd. Dit betekent dat als een ontwikkelaar een repository met een besmet .env-bestand en een kwaadaardige config.toml met MCP-serverinstellingen kloneert, het systeem ongevraagd commando’s uitvoert bij het opstarten van Codex. Er is geen validatie of goedkeuring nodig van de gebruiker, waardoor aanvallers de mogelijkheid hebben om schadelijke code uit te voeren zonder dat de ontwikkelaar het merkt.

De kwetsbaarheid stelt een aanvaller in staat om op verschillende manieren toegang te krijgen. Zo kan een aanvaller een reverse shell in de configuratie plaatsen, waardoor ze persistente toegang verkrijgen tot het systeem van een ontwikkelaar die de besmette repository kloneert en Codex uitvoert. Dit creëert een achterdeur die elke keer dat Codex wordt uitgevoerd, opnieuw kan worden geactiveerd, wat het mogelijk maakt om gegevens te stelen, wachtwoorden te exfiltreren of verdere aanvallen uit te voeren.

De kwetsbaarheid werd op 7 augustus 2025 aan OpenAI gemeld, waarna op 20 augustus 2025 een patch werd uitgebracht in versie 0.23.0 van Codex CLI. Deze patch voorkomt dat de tool .env-bestanden zonder verdere goedkeuring kan gebruiken om de CODEX_HOME naar een projectmap te leiden. Gebruikers wordt dringend geadviseerd om Codex CLI bij te werken naar versie 0.23.0 of hoger om zich te beschermen tegen deze kwetsbaarheid.

Bron 1

Google heeft recent beveiligingsupdates uitgebracht voor Android, waarbij twee kwetsbaarheden werden verholpen die actief werden aangevallen. Deze kwetsbaarheden, aangeduid als CVE-2025-48633 en CVE-2025-48572, bevinden zich beide in het Android Frame en waren kwetsbaar voor misbruik. CVE-2025-48633 kan leiden tot informatielekken, hoewel Google geen details heeft verstrekt over de aard van de gelekte informatie. CVE-2025-48572 stelt aanvallers die al toegang tot een Android-apparaat hebben, in staat om hun rechten te verhogen.

Naast deze kwetsbaarheden werd ook een kritiek lek gepatcht, CVE-2025-48631, dat remote denial of service (DoS)-aanvallen mogelijk maakte. Dit lek had geen rechten of permissies nodig om misbruikt te worden. Google heeft geen verdere details verstrekt over de exploitatie van dit beveiligingslek of de exacte gevolgen voor gebruikers.

De updates zijn beschikbaar voor Android-versies 13, 14, 15 en 16 en hebben patchniveaus van '2025-12-01' of '2025-12-05'. De updates zijn door fabrikanten van Android-toestellen ontvangen, die in staat waren om deze te verwerken en beschikbaar te stellen aan hun gebruikers. Het is echter mogelijk dat niet alle toestellen deze updates ontvangen, afhankelijk van de ondersteuning door de fabrikant of de beschikbaarheid van updates. Google meldde dat fabrikanten al een maand geleden op de hoogte werden gesteld van de kwetsbaarheden, wat hen de tijd gaf om updates te ontwikkelen.

De patchniveau-updates moeten worden toegepast door de fabrikanten om ervoor te zorgen dat alle toestellen met de nieuwste beveiligingsmaatregelen beschermd zijn tegen de geconstateerde kwetsbaarheden.

Bron 1

Tienduizenden WordPress-websites lopen momenteel een ernstig beveiligingsrisico door de aanwezigheid van een kritieke kwetsbaarheid in de plug-in Advanced Custom Fields: Extended. Door dit lek kunnen kwaadwillenden op afstand de volledige controle over een website overnemen via zogeheten remote code execution (RCE). Hoewel er sinds 21 november een beveiligingsupdate beschikbaar is, blijkt uit actuele cijfers dat tienduizenden beheerders deze update nog niet hebben geïnstalleerd.

Het beveiligingslek is geregistreerd onder de code CVE-2025-13486 en is vastgesteld in de plug-in Advanced Custom Fields: Extended. Dit is een specifieke uitbreiding voor de veelgebruikte Advanced Custom Fields (ACF) plug-in. Terwijl de basisversie van ACF op meer dan twee miljoen websites actief is, wordt de kwetsbare 'Extended' variant op ruim honderdduizend websites gebruikt. Het beveiligingsbedrijf Wordfence, dat het lek rapporteerde, heeft de ernst van de kwetsbaarheid vastgesteld op een score van 9.8 op een schaal van 1 tot 10.

De oorzaak van het probleem ligt in een functie binnen de software die op afstand kan worden aangeroepen, maar de gebruikersinvoer niet correct verwerkt. Hierdoor kunnen aanvallers zonder enige vorm van authenticatie willekeurige code uitvoeren op de server. Naast het uitvoeren van code stelt de kwetsbaarheid aanvallers in staat om willekeurige andere WordPress-functies aan te roepen. Een van de mogelijke scenario's is dat een aanvaller zichzelf een nieuw beheerdersaccount toewijst, waardoor de website volledig kan worden overgenomen.

De ontwikkelaars van Advanced Custom Fields: Extended hebben op 21 november versie 0.9.2 uitgebracht om dit beveiligingslek te verhelpen. Uit data van WordPress.org blijkt echter dat de uitrol van deze patch traag verloopt. Meer dan vijftigduizend websites die de plug-in gebruiken, hebben de update nog niet geïnstalleerd. Zolang deze websites op een verouderde versie draaien, blijven zij vatbaar voor aanvallen die gebruikmaken van deze specifieke kwetsbaarheid.

Bron 1, 2

Drie kritieke beveiligingsfouten zijn recentelijk openbaar gemaakt in de open-source tool Picklescan, een hulpprogramma dat is ontworpen om Python pickle-bestanden te scannen op verdachte import- of functieoproepen voordat deze worden uitgevoerd. Pickle is een veelgebruikt serialisatieformaat binnen machine learning, onder meer door PyTorch, om modellen op te slaan en in te laden. Dit formaat brengt echter een aanzienlijk beveiligingsrisico met zich mee, aangezien het kan worden misbruikt om automatisch willekeurige Python-code uit te voeren zodra een bestand wordt geladen. Picklescan is juist bedoeld om dit risico te mitigeren.

De door JFrog ontdekte kwetsbaarheden maakten het in essentie mogelijk om de scanner te omzeilen, de gescande modelbestanden als veilig te presenteren en de uitvoering van kwaadaardige code mogelijk te maken. Dit opende de deur voor een mogelijke supply chain-aanval door de distributie van schadelijke machine learning-modellen met ondetecteerbare code.

De drie geïdentificeerde kritieke fouten (CVE-2025-10155, CVE-2025-10156 en CVE-2025-10157) hadden alle een hoge CVSS-score. CVE-2025-10155 betrof een omzeiling van de bestandsextensie, waardoor de scanner kon worden ondermijnd en het model toch werd geladen bij gebruik van een standaard pickle-bestand met een PyTorch-gerelateerde extensie zoals .bin of .pt. CVE-2025-10156 maakte het mogelijk om het scannen van ZIP-archieven uit te schakelen door een Cyclic Redundancy Check (CRC)-fout te introduceren. De derde fout, CVE-2025-10157, betrof een omzeiling van Picklescan's controle op onveilige globale variabelen, wat leidde tot de uitvoering van willekeurige code door een bloklijst van gevaarlijke imports te omzeilen. Succesvolle exploitatie van deze kwetsbaarheden stelde aanvallers in staat om kwaadaardige pickle payloads te verbergen in bestanden met gangbare PyTorch-extensies of opzettelijk CRC-fouten te introduceren in ZIP-archieven die schadelijke modellen bevatten. Na een verantwoordelijke melding op 29 juni 2025 zijn de drie kwetsbaarheden opgelost in Picklescan versie 0.0.31, die op 9 september werd uitgebracht.

Daarnaast werd door SecDim en DCODX nog een vierde kwetsbaarheid (CVE-2025-46417) met hoge ernst in dezelfde tool gedetailleerd. Deze fout kon worden misbruikt om de bloklijst van Picklescan te omzeilen en kwaadaardige pickle-bestanden toe te staan gevoelige informatie via DNS te exfiltreren wanneer het model werd geladen. In een geschetst aanvalsscenario kon een aanvaller legitieme Python-modules zoals linecache en ssl hergebruiken om gevoelige gegevens uit bestanden zoals /etc/passwd te lezen en deze gegevens via ssl.get_server_certificate() naar een domein onder hun controle te verzenden. De gelekte inhoud verscheen in DNS-logs.

Deze bevindingen illustreren fundamentele problemen, waaronder een te grote afhankelijkheid van één scanningtool en discrepanties in de manier waarop beveiligingstools en PyTorch omgaan met bestanden. Dit maakt de beveiligingsarchitecturen kwetsbaar voor aanvallen. Deskundigen benadrukken dat de toenemende complexiteit van AI-bibliotheken zoals PyTorch, met nieuwe functies, modelformaten en uitvoerpaden, sneller groeit dan beveiligingsscanningtools zich kunnen aanpassen.

Bron 1, 2

Een ernstige kwetsbaarheid is geïdentificeerd in de King Addons for Elementor WordPress-plug-in, een component die wereldwijd in meer dan tienduizend actieve installaties wordt gebruikt. De kwetsbaarheid, geclassificeerd als een niet-geauthenticeerde privilege-escalatie, stelt aanvallers in staat om volledige administratieve controle over de getroffen WordPress-websites te verkrijgen. Dit wordt bereikt door het registreren van een nieuw account met beheerdersrechten zonder enige noodzakelijke authenticatie.

Het beveiligingslek, aangeduid met CVE-2025-8489, heeft een kritieke CVSS-score van 9.8. De grondoorzaak ligt in een onjuiste rolbeperking binnen de gebruikersregistratiefunctie van de plug-in. Het probleem bevindt zich specifiek in de handle_register_ajax() functie, die faalt in het adequaat valideren van de gebruikersrol tijdens het aanmaken van een account. Een aanvaller kan hierdoor een speciaal opgesteld registratieverzoek versturen via de plug-in's AJAX-handler, waarbij de gewenste rol als 'administrator' wordt gespecificeerd, wat vervolgens door het systeem wordt geaccepteerd.

Zodra de aanvallers administratieve toegang hebben verkregen, beschikken zij over de mogelijkheid om kwaadaardige bestanden te uploaden, de website-inhoud te manipuleren, spam te injecteren, of achterdeurtjes te installeren om persistente toegang tot de gecompromitteerde omgeving te behouden.

Het beveiligingsprobleem werd oorspronkelijk gemeld op 24 juli 2025. Op 25 september 2025 bracht de leverancier een gepatchte versie, 51.1.35, uit die de onderliggende fout verhelpt. Beveiligingsanalisten van Wordfence identificeerden de kwetsbaarheid en maakten de details op 30 oktober 2025 openbaar via de Wordfence Intelligence-database. De getroffen versies van de plug-in varieerden van 24.12.92 tot en met 51.1.14. De actieve exploitatie door aanvallers begon een dag na de publieke bekendmaking, op 31 oktober 2025. Sindsdien heeft de Wordfence Firewall al meer dan 48.400 exploitpogingen tegen kwetsbare websites geblokkeerd.

Bron 1

Microsoft heeft onlangs een kwetsbaarheid in Windows gepatcht die het mogelijk maakte om kwaadaardige code te verbergen in .LNK-bestanden. Deze kwetsbaarheid, aangeduid als CVE-2025-9491, werd actief misbruikt door aanvallers om systemen aan te vallen. Het probleem deed zich voor bij de verwerking van .LNK-bestanden, die normaal gesproken worden gebruikt om snelkoppelingen naar programma's en bestanden aan te maken.

De kwetsbaarheid zorgde ervoor dat gevaarlijke commando’s, die normaal zichtbaar zouden moeten zijn bij het inspecteren van het bestand, onzichtbaar werden gemaakt. Dit werd mogelijk doordat in het bestand een speciaal bewerkte "whitespace" werd toegevoegd, waardoor kwaadaardige commando’s pas na 260 zichtbare tekens zichtbaar waren. Hierdoor konden aanvallers hun kwaadaardige code verbergen voor de gebruiker.

Het probleem werd oorspronkelijk gemeld door securitybedrijf ZDI in september 2024, maar Microsoft gaf aanvankelijk aan dat het niet voldoende ernstig was om een patch uit te brengen. Pas later, nadat de details openbaar werden gemaakt, besloot Microsoft de kwetsbaarheid onopgemerkt te verhelpen tijdens een reguliere patchronde in november 2025. In de nieuwe update is nu het volledige Target-commando zichtbaar, ongeacht de lengte ervan, wat de exploitatie van de kwetsbaarheid voorkomt.

Het is niet de eerste keer dat dergelijke kwetsbaarheden worden aangetroffen in .LNK-bestanden. Eerder werden soortgelijke technieken, zoals bij de Stuxnet-aanval, gebruikt om systemen te compromitteren. De ontdekking van deze kwetsbaarheid komt op een moment dat aanvallers steeds vaker gebruik maken van verborgen technieken om hun schade te maximaliseren zonder dat gebruikers het merken.

Bron 1

React, een veelgebruikte JavaScript-library voor de ontwikkeling van webapplicaties, heeft een kritieke kwetsbaarheid ontdekt in de Server Components versie van hun framework, waardoor remote code execution (RCE) mogelijk is. De kwetsbaarheid, aangeduid als CVE-2025-55182, werd beoordeeld met een score van 10.0 op een schaal van 1 tot 10, wat het tot een van de meest ernstige beveiligingslekken maakt. Het probleem treft specifieke versies van React Server Components, namelijk 19.0.0, 19.1.0, 19.1.1 en 19.2.0. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om via een kwaadaardig HTTP-verzoek code op de server uit te voeren.

React Server Components zijn een technologie die ontwikkelaars in staat stelt om webapplicaties te creëren waarbij de meeste verwerking op de server plaatsvindt. Dit zou moeten zorgen voor betere prestaties en veiligheid. Echter, deze specifieke kwetsbaarheid heeft ernstige gevolgen voor systemen die gebruikmaken van de getroffen versies. Het probleem werd gedetecteerd bij versies die nog niet waren geüpdatet, maar een oplossing werd al verstrekt in versies 19.0.1, 19.1.2 en 19.2.1.

Beheerders van systemen die deze versies draaien, worden dringend verzocht om hun software te upgraden om verdere exploitatie te voorkomen. Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat systemen die geen gebruik maken van React Server Components, of die geen server gebruiken, niet kwetsbaar zijn. Daarnaast kunnen frameworks en tools zoals Next, React Router en Waku ook getroffen worden, aangezien deze vaak React Server Components integreren in hun infrastructuur.

Het probleem ontstond doordat een aanvaller in staat was om een kwaadaardig verzoek te sturen naar een Server Function endpoint. Wanneer React deze verzoeken verwerkte zonder de juiste controles, kon de aanvaller remote code execution op de server uitvoeren, wat ernstige beveiligingsrisico’s met zich meebracht. React heeft bevestigd dat ze verder technische informatie zullen verstrekken zodra de uitrol van de beveiligingsupdates volledig is afgerond. Beveiligingsupdates zijn inmiddels beschikbaar, en zowel nationale als internationale instanties, waaronder de Australische en Italiaanse overheid, hebben waarschuwingen verspreid. Techbedrijven zoals Cloudflare, Fastly en Google hebben ook maatregelen getroffen om hun klanten te beschermen tegen deze kwetsbaarheid.

Bron 1, 2, 3

Een ernstige kwetsbaarheid in het React Server Components (RSC) 'Flight'-protocol, genaamd 'React2Shell', stelt aanvallers in staat om zonder authenticatie code uit te voeren op servers die React- en Next.js-toepassingen draaien. De kwetsbaarheid, die een maximaal risiconiveau van 10/10 heeft gekregen, werd op 29 november ontdekt door beveiligingsonderzoeker Lachlan Davidson. Hij ontdekte dat aanvallers via een speciaal gemaakte HTTP-aanvraag op React Server Function-eindpunten code op afstand kunnen uitvoeren.

De kwetsbaarheid betreft versies van React (19.0, 19.1.0, 19.1.1, en 19.2.0) en Next.js (vanaf 14.3.0-canary.77 en alle versies van de 15.x- en 16.x-branches voor de gepatchte versies). Het probleem komt voort uit een fout in de deserialisatie, waarbij de server niet goed controleert of de inkomende gegevens correct zijn. Dit kan leiden tot de uitvoering van privilegie JavaScript-code in de servercontext.

Beveiligingsonderzoekers waarschuwen dat de kwetsbaarheid eenvoudig kan worden misbruikt, en dat 39% van de cloudomgevingen waar ze zicht op hebben, versies van React of Next.js draaien die kwetsbaar zijn voor deze aanval. React en Next.js worden veel gebruikt in cloudgebaseerde omgevingen, wat de impact van deze kwetsbaarheid vergroot, aangezien deze technologieën snel worden geïmplementeerd door bedrijven wereldwijd, ook in Nederland en België.

Het is belangrijk dat ontwikkelaars en bedrijven die deze technologieën gebruiken, hun omgevingen controleren en snel de nieuwste patches toepassen om zich te beschermen tegen potentiële aanvallen. De fixes zijn beschikbaar in React-versies 19.0.1, 19.1.2, en 19.2.1, en Next.js-versies 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, en 16.0.7.

Door snel actie te ondernemen kunnen organisaties het risico van deze kwetsbaarheid aanzienlijk verminderen.

Bron 1

Op 2 december 2025 heeft de Cybersecurity and Infrastructure Security Agency (CISA) vijf kritieke adviezen gepubliceerd met betrekking tot kwetsbaarheden in industriële controlesystemen (ICS). Deze kwetsbaarheden treffen systemen die essentieel zijn voor de werking van kritieke infrastructuren zoals de productie, energievoorziening en medische apparaten wereldwijd. De waarschuwingen richten zich op ernstige beveiligingsrisico’s die kunnen leiden tot inbreuken in de systemen die de ruggengraat vormen van vitale infrastructuur.

Industriële controlesystemen worden wereldwijd gebruikt om belangrijke infrastructuren te beheren, van energiecentrales tot waterzuiveringsinstallaties en medische apparatuur. Wanneer er kwetsbaarheden in deze systemen optreden, kunnen aanvallers toegang krijgen tot gevoelige netwerken, wat de stabiliteit van publieke diensten en de veiligheid van burgers in gevaar kan brengen. De vijf adviezen van CISA richten zich onder andere op leveranciers zoals Mitsubishi Electric, Iskra en Mirion Technologies, die apparatuur leveren die wereldwijd wordt ingezet in industriële omgevingen.

De kwetsbaarheden variëren van het omzeilen van authenticatieprocessen tot het uitvoeren van code op afstand, wat aanvallers de mogelijkheid biedt om ongeoorloofde toegang te krijgen tot belangrijke functies. CISA meldt dat deze kwetsbaarheden actief worden uitgebuit, wat de urgentie van de waarschuwing benadrukt. Organisaties die deze systemen gebruiken, worden aangemoedigd om zo snel mogelijk beveiligingsupdates door te voeren om verdere risico’s te vermijden.

CISA adviseert organisaties om netwerksegmentatie toe te passen en kwetsbare systemen te isoleren van het externe internet. Ook worden sterke authenticatieprocessen aanbevolen en moet er onmiddellijk netwerkmonitoring worden geïmplementeerd om verdachte activiteiten tijdig op te sporen. Door deze maatregelen te nemen, kunnen organisaties zich beter wapenen tegen de steeds geavanceerdere cyberdreigingen.

Deze publicatie van CISA benadrukt de dringende noodzaak voor organisaties in Nederland en België om kwetsbaarheden in industriële controlesystemen snel aan te pakken, met name in productieomgevingen waar storingen een directe impact kunnen hebben op de openbare veiligheid en economische stabiliteit.

Bron 1

Een ernstige kwetsbaarheid in de Sneeit Framework plugin voor WordPress wordt actief misbruikt door aanvallers, wat duizenden websites wereldwijd, ook in Nederland en België, in gevaar brengt. De kwetsbaarheid, geïdentificeerd als CVE-2025-6389 met een CVSS-score van 9.8, komt voor in versies 8.3 en eerder van de plugin, die ongeveer 1.700 actieve installaties heeft op WordPress-sites, inclusief premium thema’s.

De kwetsbaarheid werd op 10 juni 2025 ontdekt en gerapporteerd aan de ontwikkelaars. Een patch werd op 5 augustus 2025 uitgebracht, waarna de kwetsbaarheid op 24 november 2025 openbaar werd gedeeld. Vanaf die datum begonnen aanvallers de kwetsbaarheid actief te misbruiken om niet-gepatchte installaties aan te vallen. Beveiligingsonderzoekers van Wordfence hebben sindsdien meer dan 131.000 exploitpogingen geblokkeerd.

De kwetsbaarheid is te wijten aan onvoldoende invoervalidatie in een specifieke functie van de plugin, die gebruikersinvoer zonder de juiste beperkingen verwerkt. Aanvallers kunnen hierdoor via speciaal gemaakte verzoeken willekeurige PHP-code uitvoeren op de server, wat kan leiden tot volledige controle over de website.

Aangezien deze kwetsbaarheid wereldwijd van invloed is, wordt eigenaren van WordPress-websites met de Sneeit Framework plugin dringend geadviseerd om onmiddellijk te updaten naar versie 8.4 of hoger. Het uitblijven van een update kan leiden tot ernstige beveiligingsrisico’s, zoals de installatie van backdoors en het verlies van data.

Bron 1

In november 2025 is het aantal gepubliceerde CVE’s (Common Vulnerabilities and Exposures) met 25% gedaald in vergelijking met dezelfde maand in 2024. Deze daling is opvallend, vooral omdat het aantal CVE-publicaties in 2025 als geheel een stijging vertoont ten opzichte van vorig jaar. De afname in november wordt voornamelijk toegeschreven aan vertragingen bij enkele belangrijke CVE Numbering Authorities (CNAs), zoals Patchstack, MITRE en het Linux-kernel ecosysteem.

Volgens experts in de cybersecuritygemeenschap is de daling in CVE-publicaties in november niet per se een indicatie van een afname van de algehele dreiging, maar eerder het gevolg van een tijdelijke vertraging in de werkstromen van enkele grote bronnen. Patchstack gaf aan dat hun interne migratie naar een nieuwe versie van hun platform tijdelijke vertragingen veroorzaakte in hun bugbounty- en triageprocessen. Dit had een directe invloed op het aantal gepubliceerde kwetsbaarheden, maar Patchstack verwacht dat de output weer zal toenemen in het vierde kwartaal van 2025.

Hoewel de cijfers voor november een daling laten zien, blijft het totale aantal CVE-publicaties in 2025 hoger dan in 2024. De gegevens tonen een stijging van 16,9% in het aantal gepubliceerde kwetsbaarheden, wat wijst op een algemeen stijgende trend in kwetsbaarheden wereldwijd. Deze cijfers benadrukken het belang van het monitoren van publicaties van grote CNAs en het niet enkel vertrouwen op de maandelijkse CVE-aantallen voor het inschatten van risico's.

Voor cybersecurityprofessionals en organisaties in Nederland en België blijft het belangrijk om kwetsbaarheden te blijven volgen, zelfs als er schommelingen zijn in het aantal CVE-publicaties. Het is cruciaal om verder te kijken dan alleen de publicatiecijfers en te letten op exploitatie-informatie en het tempo waarmee kwetsbaarheden worden misbruikt. Het inzicht in deze trends helpt bij het prioriteren van beveiligingsmaatregelen en het effectief mitigeren van dreigingen in hun netwerkomgevingen.

Bron 1

Op 5 december 2025 werd een ernstige beveiligingskwetsbaarheid ontdekt in Apache Tika, een veelgebruikte bibliotheek voor contentdetectie en -analyse. De kwetsbaarheid, aangeduid als CVE-2025-66516, maakt het mogelijk voor aanvallers om een XML External Entity (XXE)-injectie uit te voeren. Dit kan ernstige gevolgen hebben voor systemen die Apache Tika gebruiken, met mogelijke toegang tot gevoelige bestanden of zelfs remote code execution.

De kwetsbaarheid heeft een CVSS-score van 10.0, wat aangeeft dat deze uiterst kritisch is. Apache Tika wordt vaak ingezet in systemen die werken met PDF-bestanden en andere documenten, wat betekent dat de impact wereldwijd kan zijn, ook voor bedrijven en instellingen in Nederland en België. Het probleem is te vinden in verschillende versies van Apache Tika, waaronder de modules tika-core, tika-pdf-module en tika-parsers. Als gevolg van deze kwetsbaarheid kunnen aanvallers via een speciaal vervaardigd XFA-bestand in een PDF schadelijke opdrachten uitvoeren.

Gebruikers van Apache Tika wordt dringend geadviseerd om de beveiligingsupdates toe te passen. Deze zijn beschikbaar in versie 3.2.2, waarin de kwetsbaarheid is verholpen. Aangezien veel organisaties afhankelijk zijn van Apache Tika voor hun documentverwerkingssystemen, is het essentieel dat deze updates snel worden geïnstalleerd om potentiële aanvallen te voorkomen.

Bron 1

Onderzoekers hebben meer dan dertig beveiligingskwetsbaarheden onthuld in diverse AI-gedreven Integrated Development Environments (IDE's), die de combinatie van prompt-injectie-primitieven met legitieme functies benutten om gegevensdiefstal en remote code execution (RCE) aanvallen te vergemakkelijken. Deze kwetsbaarheden, gezamenlijk aangeduid als "IDEsaster", treffen populaire IDE's en uitbreidingen zoals Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie, en Cline, waarvan 24 kwetsbaarheden CVE-identificaties hebben gekregen.

De kern van deze problemen bestaat uit drie verschillende aanvallende vectoren die typisch zijn voor AI-gedreven IDE's. Ten eerste wordt de bescherming van een taalmodel omzeild, wat leidt tot contextmanipulatie en het uitvoeren van de aanvaller's verzoeken. Ten tweede worden acties uitgevoerd zonder enige interactie van de gebruiker, doordat AI-agents auto-goedgekeurde tool-aanroepen gebruiken. Ten derde wordt een legitieme functie van het IDE geactiveerd om de beveiligingsgrenzen te doorbreken, waardoor gevoelige gegevens kunnen uitlekken of willekeurige commando's kunnen worden uitgevoerd.

De meeste aanvallen maken gebruik van een techniek die bekendstaat als prompt-injectie, waarbij verborgen instructies in de context van het model worden ingevoerd, zoals door middel van onzichtbare tekens of externe input van kwaadaardige servers. Deze techniek kan worden ingezet om bestanden te lezen, gevoelige informatie te exfiltreren of de instellingen van de IDE aan te passen om code-uitvoering te bewerkstelligen. De onderzoeksresultaten wijzen erop dat deze kwetsbaarheden de beveiliging van IDE's aanzienlijk verzwakken, vooral in ontwikkelomgevingen die AI-ondersteunde functies gebruiken.

Onder de ontdekte kwetsbaarheden bevinden zich meerdere voorbeelden waarbij prompt-injecties werden gebruikt om IDE-instellingen aan te passen, zoals bij GitHub Copilot en Cursor. Door deze instellingen te wijzigen, konden aanvallers schadelijke uitvoerbare bestanden instellen, wat leidde tot uitvoering van kwaadaardige code zonder gebruikersinteractie.

De bevindingen benadrukken de noodzaak voor strengere beveiligingsmaatregelen bij AI-tools die in ontwikkelomgevingen worden ingezet. Gebruikers wordt aangeraden alleen vertrouwde projecten en bestanden te gebruiken, verbindingen met betrouwbare servers te onderhouden en zorgvuldig te controleren op verborgen instructies in toegevoegde bronnen. Ontwikkelaars van AI-tools wordt geadviseerd om de principes van de minste privileges toe te passen, prompt-injectie-risico's te verminderen en hun systemen te verkennen op kwetsbaarheden die kunnen leiden tot gegevenslekken en code-injecties.

Bron 1

De recente ontdekking van de React2Shell-kwetsbaarheid (CVE-2025-55182) heeft wereldwijd grote gevolgen, met meer dan 77.000 kwetsbare IP-adressen, waaronder 527 in Nederland en 41 in België. Deze kwetsbaarheid bevindt zich in React Server Components en stelt aanvallers in staat om via een eenvoudig HTTP-verzoek ongeauthenticeerde code uit te voeren op kwetsbare servers. De aanvallers kunnen toegang krijgen tot systemen zonder dat gebruikersinvoer vereist is, wat ernstige risico’s met zich meebrengt voor de getroffen organisaties.

Onderzoekers hebben inmiddels bevestigd dat de kwetsbaarheid al actief wordt misbruikt, met aanvallen op meer dan 30 organisaties wereldwijd. Deze aanvallen richten zich met name op servers die React of Next.js gebruiken. In Nederland en België zijn ook verscheidene bedrijven die gebruik maken van deze frameworks, waardoor zij blootstaan aan potentiële aanvallen.

De aanvallers maken gebruik van geautomatiseerde scanningtools om kwetsbare servers te identificeren, waarna ze eenvoudige PowerShell-commando’s uitvoeren om de kwetsbaarheid te verifiëren. Na bevestiging van de kwetsbaarheid kunnen ze verdere kwaadaardige scripts downloaden, zoals Cobalt Strike, die hen toegang geeft tot interne netwerken.

Met de snelle ontdekking van de kwetsbaarheid zijn bedrijven wereldwijd in actie gekomen om de patch toe te passen en zo de risico’s te verkleinen. Cloudflare heeft al noodmaatregelen getroffen om de dreiging af te wenden, en ook de CISA (Cybersecurity and Infrastructure Security Agency) heeft de kwetsbaarheid opgenomen in de lijst van geëxploiteerde kwetsbaarheden, met een deadline voor federale instanties om voor 26 december 2025 maatregelen te nemen.

Aangezien de exploitatie van de React2Shell-kwetsbaarheid snel toeneemt, wordt bedrijven in Nederland en België dringend geadviseerd om hun systemen te controleren, de benodigde updates door te voeren en te zorgen voor een strikte monitoring van verdachte activiteiten op hun netwerken.

Bron 1, 2, 3

De meest recente analyse van de trending kwetsbaarheden (CVE's) op sociale media toont een aanhoudende aandacht voor kritieke beveiligingsproblemen in populaire technologieën. De mate van aandacht voor een specifieke kwetsbaarheid wordt gemeten via een 'hype-score', een cijfer tussen 0 en 100 dat de prevalentie van discussie over de kwetsbaarheid in openbare bronnen weerspiegelt. Een hogere score duidt op een grotere urgentie of ernst van de dreiging.

In de afgelopen 24 uur hebben twee kwetsbaarheden in het bijzonder de meeste aandacht getrokken, beide met betrekking tot ongeauthenticeerde remote code execution (RCE) via aangepaste HTTP-aanvragen. CVE-2025-55182, met een hype-score van 74, betreft een kritiek probleem in specifieke versies van React Server Components (RSC). Kort daarop volgt CVE-2025-66478 (hype-score 58), die Next.js-applicaties treft die de App Router gebruiken. Voor beide kwetsbaarheden zijn reeds patches beschikbaar.

Andere trending kwetsbaarheden omvatten diverse RCE- en buffer overflow-problemen. CVE-2025-12762 (hype-score 19), gepubliceerd in november, maakt RCE mogelijk in pgAdmin tijdens het herstel van dumpbestanden in PLAIN-formaat. Eerder in het jaar, in september, werd een out-of-bounds write-kwetsbaarheid in WatchGuard Fireware OS, CVE-2025-9242 (hype-score 12), gemeld, die bij specifieke configuraties RCE door externe aanvallers toestaat.

Kwetsbaarheden in het compressieprogramma WinRAR blijven ook onder de aandacht. CVE-2025-8088 (hype-score 8) werd reeds misbruikt in phishingaanvallen om RomCom-malware te verspreiden en maakte willekeurige code-uitvoering mogelijk via kwaadaardige archiefbestanden. Ook CVE-2025-6218 (hype-score 8) betreft een WinRAR directory traversal RCE-probleem, waarvoor gebruikers een kwaadaardig bestand moeten openen.

Recentere ontdekkingen omvatten CVE-2025-66516 (hype-score 6), een XXE-injectie in Apache Tika die via een aangepast XFA-bestand in een PDF toegang tot gevoelige serverdata kan verschaffen. Daarnaast is er CVE-2025-66624 (hype-score 6) in de BACnet Protocol Stack-bibliotheek, wat een crash kan veroorzaken zonder gebruikersinteractie of privileges. Ten slotte is er CVE-2025-26858 (hype-score 4), een buffer overflow-kwetsbaarheid in Modbus TCP-functionaliteit van de Socomec DIRIS Digiware M-70, wat kan leiden tot een denial of service door ongeauthenticeerde pakketten.

Overzicht

Er is actieve misbruik gemeld van een kwetsbaarheid in de SSL VPN-gateways van Array Networks. Dit wordt bevestigd door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), dat recent waarschuwde voor de risico’s die voortkomen uit deze kwetsbaarheid (CVE-2025-66644). De kwetsbaarheid bevindt zich in de "DesktopDirect" functie van de gateway, die organisaties in staat stelt om VPN-verbindingen te realiseren voor medewerkers, zodat zij toegang hebben tot interne systemen en applicaties.

De kwetsbaarheid maakt het mogelijk voor aanvallers om commando’s uit te voeren op de gateway, waardoor zij een webshell kunnen installeren. Dit geeft hen de mogelijkheid om langdurig toegang te verkrijgen tot de systemen van de getroffen organisatie en verder kwaad te verrichten. De aanvallers kunnen hierdoor niet alleen gegevens stelen, maar ook andere malwares of aanvallen lanceren.

Array Networks bracht in mei 2025 een beveiligingsupdate uit voor dit probleem, maar aanvallers maken al sinds augustus misbruik van de kwetsbaarheid. Dit werd voor het eerst opgemerkt door het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC), dat samen met CISA in december 2025 opnieuw waarschuwde voor de kwetsbaarheid. Het is een vervolg op eerdere incidenten waarbij andere kwetsbaarheden in dezelfde SSL VPN-gateways werden uitgebuit.

De kwetsbaarheid benadrukt het belang van tijdige updates en patching voor IT-systemen die kritieke toegang bieden tot bedrijfsnetwerken. Het is van cruciaal belang dat organisaties die gebruik maken van deze VPN-gateways de nieuwste beveiligingspatches toepassen om verdere aanvallen te voorkomen.

Bron 1

Microsoft heeft tijdens de patchdinsdag van december een ernstige kwetsbaarheid verholpen die actief werd aangevallen in alle ondersteunde versies van Windows. Het beveiligingslek, aangeduid als CVE-2025-62221, bevindt zich in de Windows Cloud Files Mini Filter Driver. Dit lek stelt aanvallers die al toegang hebben tot een systeem in staat om SYSTEM-rechten te verkrijgen, wat hen volledige controle over het systeem kan geven.

De kwetsbaarheid werd door Microsoft zelf ontdekt, maar het bedrijf heeft geen verdere details gedeeld over de specifieke aanvallen, zoals wie de doelwitten waren of hoe het lek precies werd misbruikt. Dergelijke kwetsbaarheden worden vaak gecombineerd met andere beveiligingslekken, zoals die welke remote code execution mogelijk maken, wat de impact van het lek aanzienlijk vergroot.

Microsoft heeft aangegeven dat de beveiligingsupdate voor CVE-2025-62221 automatisch op de meeste systemen zal worden geïnstalleerd. De update moet ervoor zorgen dat de kwetsbaarheid niet verder kan worden misbruikt door aanvallers. Hoewel er geen gedetailleerde informatie is verstrekt over de omvang van de aanvallen, is het van belang dat gebruikers de update zo snel mogelijk toepassen om mogelijke risico's te mitigeren.

Bron 1

Microsoft heeft een kwetsbaarheid in Outlook bekendgemaakt die het mogelijk maakt voor aanvallers om op afstand code uit te voeren op het systeem van een slachtoffer, simpelweg door een malafide e-mail te beantwoorden. De kwetsbaarheid, aangeduid als CVE-2025-62562, werd aanvankelijk als kritiek bestempeld, maar is door Microsoft herzien naar "important". De aanval wordt mogelijk wanneer een aanvaller een kwaadaardige e-mail verstuurt en het slachtoffer deze beantwoordt. Dit kan leiden tot een "Use after free" fout, die de uitvoering van code op het systeem mogelijk maakt. Microsoft schat de impact van deze kwetsbaarheid op een score van 7.8 op een schaal van 10, hoewel ze aangeven dat misbruik onwaarschijnlijk wordt geacht.

Daarnaast zijn er twee andere kwetsbaarheden in Microsoft Office ontdekt, aangeduid als CVE-2025-62554 en CVE-2025-62557, die ook kunnen leiden tot remote code execution. Deze kwetsbaarheden kunnen misbruikt worden via het Voorbeeldvenster (Preview Pane) in e-mailclients, waarbij de gebruiker de e-mail niet hoeft te openen of op een link hoeft te klikken om de aanval uit te voeren. De impact van deze kwetsbaarheden wordt beoordeeld met een score van 8.4. Microsoft stelt echter dat het misbruik van deze kwetsbaarheden minder waarschijnlijk is.

Voor gebruikers van Office LTSC voor Mac 2021 en 2024 zijn er nog geen beveiligingsupdates beschikbaar, maar Microsoft heeft aangegeven dat deze updates in de toekomst zullen worden uitgebracht, hoewel het niet duidelijk is wanneer precies. De meeste systemen zullen de beveiligingsupdates automatisch ontvangen. Dit is de elfde maand op rij dat een kritieke kwetsbaarheid in Office wordt gerapporteerd, waarbij het Voorbeeldvenster als aanvalsvector wordt gebruikt.

Bron 1

Fortinet heeft een waarschuwing uitgegeven over twee kritieke kwetsbaarheden in verschillende van haar producten. Deze kwetsbaarheden, aangeduid als CVE-2025-59718 en CVE-2025-59719, stellen aanvallers in staat de authenticatie te omzeilen en ongeautoriseerde toegang te krijgen tot systemen. De kwetsbaarheden bevinden zich in onder andere FortiOS, FortiProxy, FortiSwitchManager en FortiWeb.

Het probleem ontstaat door een fout in de cryptografische handtekeningcontrole tijdens het gebruik van de FortiCloud SSO-login. Hierdoor kan een aanvaller, door middel van speciaal voorbereide SAML-berichten, de FortiCloud SSO-login authenticatie omzeilen, mits deze functie is ingeschakeld op het systeem. De FortiCloud SSO-login maakt het gebruikers mogelijk met één set inloggegevens toegang te krijgen tot verschillende Fortinet-producten.

De kwetsbaarheden hebben een hoge impactscore van 9.1 op de schaal van 1 tot 10. Ze stellen aanvallers in staat om via diverse technieken toegang te krijgen, zoals het omzeilen van de FortiCloud SSO-login, het behouden van actieve SSLVPN-sessies na een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde handelingen via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot toegang tot gevoelige API-gegevens en andere netwerkbronnen.

Fortinet heeft beveiligingsupdates beschikbaar gesteld om deze kwetsbaarheden te verhelpen. In de tussentijd adviseert het bedrijf organisaties de FortiCloud-loginfunctie uit te schakelen totdat de updates geïnstalleerd zijn. Het Nationaal Cyber Security Centrum (NCSC) heeft ook gewaarschuwd voor de gevaren van deze kwetsbaarheden.

Bron 1

Ivanti heeft een beveiligingsupdate uitgebracht voor een ernstige kwetsbaarheid in zijn Endpoint Manager (EPM) software, specifiek voor een cross-site scripting (XSS) lek dat ongeauthenticeerde aanvallers in staat stelt om willekeurige JavaScript-code uit te voeren in de sessie van een ingelogde administrator. Het probleem, dat is aangeduid als CVE-2025-10573, heeft een CVSS-score van 9.6, wat het als zeer kritisch plaatst.

Ivanti Endpoint Manager wordt gebruikt door organisaties om apparaten zoals laptops, smartphones en servers centraal te beheren. De software communiceert via een server met agents op beheerde clients. Het lek kan misbruikt worden als een aanvaller toegang krijgt tot een EPM-server of administrator-account, wat ernstige gevolgen kan hebben voor de betrokken organisatie. Dit is niet de eerste keer dat Ivanti EPM doelwit is van aanvallen, waarbij kwetsbaarheden in het verleden misbruikt werden voordat er updates beschikbaar waren.

De kwetsbaarheid kan door een aanvaller worden misbruikt via een speciaal geprepareerde 'device scan' die wordt verstuurd naar de EPM-API. Deze scan bevat de kwaadaardige XSS-code die automatisch wordt verwerkt door het systeem en uitgevoerd wordt in het dashboard van een ingelogde administrator wanneer deze de apparaatinformatie bekijkt. De kwetsbaarheid vereist interactie van de gebruiker, maar er zijn geen meldingen dat de kwetsbaarheid op dit moment actief wordt misbruikt.

De kwetsbaarheid werd ontdekt door het beveiligingsbedrijf Rapid7, dat meer technische details over het probleem heeft verstrekt. Hoewel Ivanti heeft aangegeven dat er geen aanwijzingen zijn voor actief misbruik, wordt het dringend aangeraden om de update snel toe te passen om potentiële risico’s te mitigeren.

Bron 1, 2, 3, 4

Microsoft heeft aangekondigd dat Windows PowerShell nu een waarschuwing toont wanneer gebruikers scripts uitvoeren die de Invoke-WebRequest cmdlet gebruiken om webinhoud te downloaden. Dit is bedoeld om de uitvoering van mogelijk riskante code te voorkomen. De wijziging is specifiek gericht op een ernstige kwetsbaarheid in PowerShell voor remote code execution (RCE), aangeduid als CVE-2025-54100, die vooral IT-omgevingen en bedrijven treft die PowerShell-scripts voor automatisering gebruiken. Dit type script wordt minder vaak buiten dergelijke omgevingen toegepast.

De waarschuwing is toegevoegd aan PowerShell 5.1, de standaardversie die is geïnstalleerd op Windows 10 en Windows 11 systemen. Deze versie zal nu een beveiligingsprompt weergeven wanneer de Invoke-WebRequest cmdlet wordt gebruikt zonder speciale parameters. De waarschuwing informeert gebruikers dat scripts die in webpagina’s zijn ingebed, mogelijk worden uitgevoerd tijdens het parseren van de pagina. Gebruikers krijgen de optie om door te gaan of de operatie te annuleren. Als men kiest voor 'Ja', wordt de pagina geparsed met de oude methode, die volledige HTML-parsing mogelijk maakt, waardoor de inhoud en ingebedde scripts kunnen worden geladen zoals voorheen. Het kiezen van 'Nee' stopt de actie en voorkomt dat risicovolle code wordt uitgevoerd.

Deze wijziging is een directe reactie op de kwetsbaarheid die kan leiden tot het ongewild uitvoeren van code via ingevoegde scripts in webinhoud. PowerShell 5.1 biedt nu een veiliger alternatief door gebruikers aan te raden de parameter -UseBasicParsing te gebruiken voor een veiligere verwerking van webinhoud. IT-beheerders worden aangespoord om hun scripts bij te werken om deze nieuwe parameter expliciet te gebruiken om vertragingen door handmatige bevestigingen te voorkomen. Dit geldt ook voor de 'curl' opdracht in PowerShell, die als alias fungeert voor de Invoke-WebRequest cmdlet.

Hoewel deze wijziging de meeste bestaande PowerShell-scripts niet zou moeten beïnvloeden, moeten gebruikers zich ervan bewust zijn dat het downloaden van webinhoud zonder de juiste voorzorgsmaatregelen kan leiden tot ongewenste code-uitvoering, wat risico’s met zich meebrengt.

Bron 1, 2, 3, 4, 5

SAP heeft zijn beveiligingsupdate voor december 2025 uitgebracht, waarin het 14 kwetsbaarheden in verschillende producten heeft aangepakt, waaronder drie kritieke kwetsbaarheden. De meest ernstige kwetsbaarheid (CVSS-score: 9,9) betreft CVE-2025-42880, een code-injectieprobleem in SAP Solution Manager ST 720. Door een gebrek aan inputvalidatie kunnen aanvallers kwaadaardige code invoeren bij het aanroepen van een remote-enabled function module. Dit kan de aanvaller volledige controle over het systeem geven, wat leidt tot aanzienlijke gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

SAP Solution Manager is een platform voor levenscyclusbeheer en monitoring dat door bedrijven wordt gebruikt voor systeemmonitoring, technische configuratie, incidentbeheer, servicedesk, documentatie en testbeheer. Het tweede ernstige probleem betreft meerdere kwetsbaarheden in Apache Tomcat, die van invloed zijn op de SAP Commerce Cloud-componenten in versies HY_COM 2205, COM_CLOUD 2211 en COM_CLOUD 2211-JDK21. Deze kwetsbaarheden zijn gemarkeerd onder het identificatienummer CVE-2025-55754, met een CVSS-waarde van 9,6. SAP Commerce Cloud is een platform voor e-commerce, vooral gebruikt door grote retailers en wereldmerken.

De derde kritieke kwetsbaarheid (CVSS-score: 9,1) is CVE-2025-42928, een deserialisatiekwetsbaarheid in SAP jConnect. Onder bepaalde omstandigheden kan een hoogprivilege gebruiker via speciaal samengestelde invoer op afstand code-executie uitvoeren op het doel. SAP jConnect is een JDBC-driver die door ontwikkelaars en databasebeheerders wordt gebruikt om Java-applicaties met SAP ASE en SAP SQL Anywhere-databases te verbinden.

Naast de drie kritieke kwetsbaarheden heeft SAP ook vijf kwetsbaarheden met een hoge ernst en zes met een gemiddelde ernst opgelost. Deze omvatten geheugenbeschadiging, ontbrekende authenticatie- en autorisatiecontroles, cross-site scripting en informatie openbaarmaking. Hoewel geen van de 14 kwetsbaarheden als actief in het wild misbruikt wordt gemeld, wordt het sterk aanbevolen om de updates zo snel mogelijk te implementeren, aangezien SAP-oplossingen vaak worden gebruikt voor het beheren van gevoelige en waardevolle bedrijfsomgevingen.

Bron 1

Onderzoekers hebben een kwetsbaarheid ontdekt in het .NET Framework, die aanvallers in staat stelt om bestandsschrijvingen en remote code execution (RCE) uit te voeren in verschillende bedrijfsapplicaties. De kwetsbaarheid, aangeduid als SOAPwn, heeft te maken met de manier waarop .NET omgaat met Web Services Description Language (WSDL) en Simple Object Access Protocol (SOAP) berichten. Deze kwetsbaarheid heeft invloed op applicaties zoals Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) en Umbraco 8, hoewel het aantal getroffen producten waarschijnlijk groter is door het wijdverspreide gebruik van .NET.

De kwetsbaarheid wordt mogelijk gemaakt door fouten in de manier waarop de .NET Framework HTTP client-proxies SOAP-berichten afhandelen. Aanvallers kunnen WSDL-bestanden manipuleren en deze via HTTP-clientproxies gebruiken om onbedoelde bestandsschrijvingen uit te voeren. Dit kan leiden tot de uitvoering van willekeurige code, vooral wanneer een aanvaller toegang heeft tot het bestandssysteem van de getroffen applicatie. Het is mogelijk om via een netwerkpad zoals "file://attacker.server/poc/poc" een bestand naar een server van de aanvaller te schrijven, wat het voor de aanvaller mogelijk maakt om toegang te krijgen tot het netwerk en verdere aanvallen uit te voeren.

Bovendien ontdekte het onderzoek een krachtiger exploitatiepad in applicaties die HTTP client-proxies genereren vanuit WSDL-bestanden. In dit scenario kan een aanvaller via een gemanipuleerd WSDL-bestand, dat via een kwetsbare applicatie wordt geladen, remote code execution verkrijgen door het plaatsen van een werkende ASPX-webshell of een ander kwaadaardig script zoals een PowerShell-script.

Microsoft heeft geweigerd de kwetsbaarheid direct te verhelpen, met het argument dat het probleem te maken heeft met applicatiegedrag en niet met het framework zelf. Het bedrijf heeft aangegeven dat gebruikers geen onbetrouwbare invoer zouden moeten accepteren die code kan genereren en uitvoeren. De kwetsbaarheid is inmiddels opgelost in Barracuda Service Center RMM versie 2025.1.1 en Ivanti EPM versie 2024 SU4 SR1. Het probleem in Umbraco 8 blijft echter bestaan, aangezien de ondersteuning voor deze versie is beëindigd.

Deze kwetsbaarheid benadrukt hoe normaal gedrag binnen een veelgebruikte technologie kan worden uitgebuit, wat leidt tot ernstige beveiligingsproblemen zoals NTLM-relaying en ongewilde bestandsschrijvingen. Het probleem heeft al geleid tot hoge CVSS-scores voor de getroffen producten, wat de ernst van deze kwetsbaarheid aangeeft.

Bron 1, 2, 3, 4

Notepad++ heeft versie 8.8.9 van zijn teksteditor uitgebracht om een kwetsbaarheid in zijn WinGUp-updatehulpmiddel te verhelpen. Onderzoekers en gebruikers meldden incidenten waarbij het updateprogramma schadelijke uitvoerbare bestanden in plaats van de legitieme updatebestanden ophaalde. Dit probleem werd voor het eerst opgemerkt op een Notepad++-communityforum, waar een gebruiker meldde dat het updateprogramma, GUP.exe (WinGUp), een onbekend bestand genaamd "%Temp%\AutoUpdater.exe" had gestart. Dit bestand voer verschillende opdrachten uit om systeeminformatie te verzamelen.

De malware in het bestand voerde commando’s uit om systeeminformatie te verkrijgen en deze gegevens op te slaan in een bestand genaamd 'a.txt'. Vervolgens gebruikte de malware het commando curl.exe om dit bestand naar een externe site, temp[.]sh, te exfiltreren. Dit site werd eerder geassocieerd met malwarecampagnes.

Na de meldingen van de aanvallen kwam het vermoeden naar boven dat de updatekanalen van Notepad++ mogelijk waren gemanipuleerd. Om dit probleem te mitigeren, bracht Notepad++ op 18 november versie 8.8.8 uit, die ervoor zorgde dat updates alleen nog via GitHub konden worden gedownload. De echte oplossing kwam echter op 9 december 2025, toen versie 8.8.9 werd uitgerold. Deze versie voorkomt nu dat updates die niet zijn ondertekend met het officiële certificaat van de ontwikkelaar, worden geïnstalleerd. Dit zorgt ervoor dat de updatebestanden gecontroleerd worden op geldige handtekeningen en certificaten. Als deze controle mislukt, wordt de update afgebroken.

In de afgelopen maand waarschuwde beveiligingsexpert Kevin Beaumont voor incidenten bij drie organisaties waarbij Notepad++-processen mogelijk het pad voor aanvallers naar toegang tot systemen hadden geopend. Volgens Beaumont werd dit bereikt door malafide versies van Notepad++ te distribueren via bijvoorbeeld advertenties, en zouden deze versies mogelijk ook schadelijke updates hebben geïnstalleerd via het automatische updateproces.

Notepad++ heeft inmiddels aangegeven dat de veiligheid van de software is verbeterd. Alle officiële versies van Notepad++ zijn nu ondertekend met een geldig certificaat, en gebruikers wordt aangeraden om de nieuwste versie, 8.8.9, te installeren. Er wordt ook aangegeven dat het onderzoek naar de exacte manier van verkeerskapingen nog gaande is.

Bron 1, 2

De Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een ernstig beveiligingslek in GeoServer toegevoegd aan haar Keurig Exploited Vulnerabilities (KEV) catalogus. De kwetsbaarheid, met de identificatie CVE-2025-58360, is een onbeveiligde XML External Entity (XXE)-fout die affectie vertoont in alle versies van GeoServer vóór en inclusief versie 2.25.5, en van versie 2.26.0 tot 2.26.1. Dit probleem is opgelost in de versies 2.25.6, 2.26.2, 2.27.0, 2.28.0 en 2.28.1 van GeoServer. De kwetsbaarheid heeft een CVSS-score van 8.2 en werd ontdekt door het AI-gedreven platform XBOW, dat heeft bijgedragen aan het rapporteren van het probleem.

Deze kwetsbaarheid wordt veroorzaakt door een onjuiste beperking van XML externe entiteitsreferenties wanneer het systeem XML-invoer accepteert via een specifieke endpoint operatie (/geoserver/wms), waardoor een aanvaller in staat zou kunnen zijn om externe entiteiten binnen de XML-aanvraag te definiëren. Dit maakt de software kwetsbaar voor aanvallen die toegang kunnen verschaffen tot willekeurige bestanden op de serversystemen, server-side request forgery (SSRF) mogelijk maken, of een denial-of-service (DoS)-aanval kunnen uitvoeren door het uitputten van systeembronnen.

Hoewel er momenteel geen gedetailleerde informatie beschikbaar is over hoe deze kwetsbaarheid actief wordt misbruikt, is er bevestiging van het Canadese Cyber Security Centre dat er exploitatie van deze kwetsbaarheid in het wild plaatsvindt. Aangezien de kwetsbaarheid al een aantal maanden bekend is, worden overheidsinstanties in de Verenigde Staten geadviseerd om snel de nodige patches door te voeren om hun netwerken te beveiligen.

Deze kwetsbaarheid voegt zich bij een andere kritieke kwetsbaarheid in GeoServer (CVE-2024-36401) die eerder dit jaar werd uitgebuit door verschillende dreigingsactoren. Gebruikers van GeoServer worden dringend geadviseerd de beveiligingsupdates zo snel mogelijk toe te passen om hun systemen te beschermen tegen mogelijke aanvallen.

Bron 1

React heeft recentelijk beveiligingsupdates uitgebracht voor drie ernstige kwetsbaarheden in React Server Components (RSC), die kunnen leiden tot Denial-of-Service (DoS) aanvallen en het onbedoeld blootstellen van broncode. De kwetsbaarheden werden ontdekt door de beveiligingsgemeenschap, terwijl men probeerde de patches te testen die eerder waren uitgebracht voor de kritieke bug CVE-2025-55182, die inmiddels in het wild wordt misbruikt.

De drie kwetsbaarheden zijn als volgt:

CVE-2025-55184 (CVSS score: 7.5): Deze kwetsbaarheid leidt tot een DoS-aanval door onveilige deserialisatie van payloads in HTTP-verzoeken naar Server Function endpoints. Dit veroorzaakt een oneindige lus die de server vastzet, wat verhindert dat toekomstige HTTP-verzoeken worden verwerkt.

CVE-2025-67779 (CVSS score: 7.5): Dit is een onvolledige oplossing voor CVE-2025-55184, met dezelfde impact op de server.

CVE-2025-55183 (CVSS score: 5.3): Deze informatielek-kwetsbaarheid kan worden misbruikt door een speciaal vervaardigd HTTP-verzoek naar een kwetsbare Server Function, waardoor de broncode van de serverfunctie wordt blootgesteld. Exploitatie van deze kwetsbaarheid vereist dat een argument expliciet of impliciet wordt omgezet naar een stringformaat.

De kwetsbaarheden treffen de volgende versies van react-server-dom-parcel, react-server-dom-turbopack en react-server-dom-webpack:

CVE-2025-55184 en CVE-2025-55183: Versies 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1
CVE-2025-67779: Versies 19.0.2, 19.1.3, 19.2.2
Beveiligingsonderzoekers RyotaK en Shinsaku Nomura werden erkend voor het melden van de DoS-kwetsbaarheden, terwijl Andrew MacPherson werd bedankt voor het melden van de broncode-expositie. Gebruikers wordt geadviseerd om zo snel mogelijk bij te werken naar versies 19.0.3, 19.1.4 en 19.2.3, gezien de actieve exploitatie van CVE-2025-55182.

De React-ontwikkelaars benadrukken dat het normaal is om aanvullende kwetsbaarheden te ontdekken wanneer een kritieke kwetsbaarheid wordt gepubliceerd. Dit weerspiegelt een gezonde reactiecyclus, waarin onderzoekers het aangrenzende codepad onderzoeken om te zien of er nieuwe manieren zijn om de aanvankelijke mitigatie te omzeilen.

Bron 1

Op 12 december 2025 heeft het Nationaal Cyber Security Centrum (NCSC) melding gemaakt van een kwetsbaarheid in de populaire teksteditor Notepad++, waarmee kwaadwillende actoren mogelijk malafide updates naar gebruikers kunnen pushen. De kwetsbaarheid is specifiek verbonden met de updatefunctie van de software, genaamd GUP / WinGUP, die het mogelijk maakt om verkeer tussen de gebruiker en de Notepad++ update-server te onderscheppen en aan te passen. Dit maakt het mogelijk kwaadaardige updates te injecteren als gebruikers niet op de hoogte zijn van de wijziging.

Volgens de informatie die is gedeeld door het NCSC, zijn voor zover bekend uitsluitend organisaties met belangen in Oost-Azië getroffen door gerichte aanvallen die misbruik maken van deze kwetsbaarheid. Er zijn momenteel geen aanwijzingen dat deze kwetsbaarheid actief misbruikt wordt binnen Nederland. De aanvallen zouden specifiek gericht zijn op een beperkt aantal doelwitten, gezien de vereiste toegang en kennis die nodig zijn om het verkeer succesvol te onderscheppen.

De kwetsbaarheid werd oorspronkelijk ontdekt door beveiligingsonderzoeker Kevin Beaumont, die op 2 december 2025 een blogpost publiceerde waarin hij melding maakte van aanvallen die sinds begin oktober hadden plaatsgevonden. De misbruiken zijn zeldzaam, voornamelijk vanwege de complexe vereisten voor het misbruik ervan. Dit suggereert dat het risico op bredere schade beperkt is, hoewel het gevaar niet volledig uitgesloten kan worden.

Om de risico's te beperken, heeft Notepad++ enkele belangrijke beveiligingsmaatregelen doorgevoerd in de laatste updates. De versie 8.8.8 van november 2025 introduceerde al een wijziging waarbij updatebestanden uitsluitend afkomstig moeten zijn van een officiële Github-pagina. Bovendien werd in versie 8.8.9 van 9 december het gebruik van een nieuw certificaat geïmplementeerd en wordt de handtekening van het gedownloade updatebestand nu gecontroleerd. Deze updates moeten ervoor zorgen dat malafide bestanden niet zomaar geaccepteerd kunnen worden, zelfs als er een poging wordt gedaan om de communicatie te manipuleren.

Voor gebruikers en organisaties die gebruikmaken van Notepad++, wordt geadviseerd om de software bij te werken naar de laatste versie (v.8.8.9) om het risico op misbruik te minimaliseren. Gebruikers die twijfels hebben over mogelijke eerdere compromittering van hun systemen, kunnen controleren of er ongebruikelijke netwerkverbindingen zijn of verdachte processen draaien die niet typisch zijn voor de reguliere werking van de software. Het NCSC heeft richtlijnen verstrekt voor het controleren van verdachte activiteiten, zoals het verifiëren van netwerkverbindingen en het controleren van ongebruikelijke bestanden in de TEMP-map.

Op dit moment wordt het NCSC geen aanwijzingen aangereikt dat er in Nederland misbruik van deze kwetsbaarheid heeft plaatsgevonden. Organisaties die vermoeden dat zij getroffen zijn, worden aangespoord om contact op te nemen met het NCSC voor verdere ondersteuning.

Bron 1

De Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse federale overheidsinstanties opgedragen een kritieke kwetsbaarheid in GeoServer te patchen. De kwetsbaarheid, bekend als CVE-2025-58360, wordt momenteel actief geëxploiteerd in aanvallen waarbij gebruik wordt gemaakt van XML External Entity (XXE)-injecties. Deze kwetsbaarheid bevindt zich in GeoServer 2.26.1 en eerdere versies, een open-source server voor het delen van geografische data via het internet. Bij een XXE-aanval wordt een XML-invoer die een verwijzing naar een externe entiteit bevat, verwerkt door een zwak geconfigureerde XML-parser. Hierdoor kunnen aanvallers denial-of-service-aanvallen uitvoeren, vertrouwelijke data benaderen of Server-Side Request Forgery (SSRF)-aanvallen uitvoeren, waarmee zij in staat zijn interne systemen aan te vallen.

De kwetsbaarheid is ernstig, aangezien het aanvallers in staat stelt willekeurige bestanden van kwetsbare servers te halen. CISA heeft GeoServer opgenomen in haar Known Exploited Vulnerabilities (KEV)-catalogus, wat aangeeft dat de kwetsbaarheid actief wordt benut in cyberaanvallen. CISA heeft federale civiele uitvoeringsinstanties, zoals het ministerie van Energie en het ministerie van Volksgezondheid en Human Services, opgedragen om de kwetsbaarheid vóór 1 januari 2026 te patchen, conform de Binding Operational Directive (BOD) 22-01 uit november 2021. Deze richtlijn verplicht federale agentschappen om kwetsbaarheden in de KEV-catalogus snel aan te pakken.

Hoewel de richtlijn alleen van toepassing is op federale agentschappen, dringt CISA er bij andere netwerkaannemers op aan om de kwetsbaarheid eveneens met prioriteit te patchen. CISA waarschuwt dat dergelijke kwetsbaarheden frequente aanvalsvectoren zijn voor kwaadwillende actoren en aanzienlijke risico’s voor de nationale veiligheid kunnen vormen.

Dit is niet de eerste keer dat GeoServer kwetsbaarheden worden geëxploiteerd. In 2024 leidde een andere kwetsbaarheid in GeoServer (CVE-2024-36401) tot een inbraak bij een niet nader genoemde Amerikaanse overheidsinstantie. CISA benadrukt het belang van het snel aanbrengen van mitigaties en het volgen van de instructies van de leverancier voor cloudservices om dergelijke aanvallen te voorkomen.

Bron B/NL

Een nieuwe zero-day kwetsbaarheid in de Windows Remote Access Connection Manager (RasMan) service is ontdekt, die aanvallers in staat stelt de RasMan-service te laten crashen. RasMan is een belangrijk systeemonderdeel van Windows dat automatisch wordt gestart, op de achtergrond draait met SYSTEM-rechten en verantwoordelijk is voor het beheren van VPN-verbindingen, Point-to-Point Protocol over Ethernet (PPoE) en andere netwerkverbindingen op afstand. Deze kwetsbaarheid kan leiden tot een denial-of-service (DoS), waardoor de dienst niet beschikbaar wordt voor gebruikers.

De kwetsbaarheid werd ontdekt door ACROS Security, het bedrijf achter de 0patch micropatching-platform. Het werd gevonden tijdens het onderzoek naar een eerdere kwetsbaarheid, CVE-2025-59230, die betrekking had op privilege escalation in RasMan en werd opgelost in oktober 2025. De nieuwe DoS-zero-day is echter nog niet gepatcht door Microsoft en heeft geen officiële CVE-ID gekregen. De kwetsbaarheid is aanwezig in alle versies van Windows, van Windows 7 tot en met Windows 11, en ook in Windows Server-versies van 2008 R2 tot 2025.

De kwetsbaarheid wordt veroorzaakt door een fout in de manier waarop RasMan circulaire gekoppelde lijsten verwerkt. Wanneer de service een null-pointer tegenkomt tijdens het doorlopen van deze lijsten, probeert het systeem geheugen te lezen van een niet-bestaand adres, wat leidt tot een crash van de dienst. Het probleem is significant omdat onbevoegde gebruikers hierdoor de RasMan-service kunnen laten crashen, wat aanvallers de mogelijkheid biedt om de service te misbruiken voor privilege escalation-aanvallen.

ACROS Security biedt tijdelijk gratis, niet-officiële micropatches aan via hun 0Patch-service voor alle getroffen Windows-versies. Deze micropatches kunnen eenvoudig worden geïnstalleerd door de 0Patch-agent te downloaden, die automatisch de patches toepast zonder dat een herstart nodig is, tenzij een aangepaste patching-beleid dit blokkeert. Het bedrijf heeft Microsoft al op de hoogte gesteld van het probleem, en het wordt verwacht dat Microsoft in de toekomst een officiële patch zal uitbrengen voor de nog ondersteunde versies van Windows.

Op dit moment is er geen bevestiging van Microsoft over de beschikbaarheid van een fix voor de kwetsbaarheid. De waarschuwing blijft van kracht voor alle versies van Windows waarop de RasMan-service draait, en gebruikers wordt geadviseerd om de tijdelijke micropatches te overwegen totdat een officiële oplossing wordt aangeboden.

Bron 1

Apple heeft recent beveiligingsupdates uitgebracht voor twee ernstige kwetsbaarheden die actief werden misbruikt in gerichte aanvallen op iPhone-gebruikers. De aanvallen werden door Apple omschreven als 'zeer geraffineerd', hoewel details over de doelwitten of de aard van de aanvallen niet werden gedeeld. Wat wel duidelijk is, is dat de kwetsbaarheden verband houden met WebKit, de engine die door Apple wordt gebruikt in zijn browser. Deze kwetsbaarheden stonden aanvallers toe om malafide webcontent te verwerken, wat leidde tot geheugenbeschadiging en mogelijk systeemcompromittatie.

De kwetsbaarheid die in de aanval werd misbruikt, is geregistreerd onder het CVE-nummer 2025-14174. Google had eerder een vergelijkbare kwetsbaarheid in Chrome ontdekt, die eveneens gekoppeld werd aan een 'out of bounds memory access'. De kwetsbaarheid in WebKit bleek zowel op iPhones als op iPads aanwezig te zijn, en hoewel iOS 26 niet getroffen werd, waren apparaten met oudere versies van iOS en iPadOS kwetsbaar.

Apple heeft de kwetsbaarheid aangeduid als een 'use-after-free'-fout, en ook de CVE-2025-43529, een ander beveiligingslek in WebKit, werd door Apple en Google erkend. Dit lek had potentieel schadelijke gevolgen voor zowel iOS als macOS-gebruikers. Gebruikers van iPhones en iPads wordt aangeraden om te upgraden naar iOS 18.7.3 en 26.2, respectievelijk, om hun systemen te beschermen tegen misbruik van deze kwetsbaarheden. Apple heeft de patches voor macOS Tahoe ook beschikbaar gesteld.

De kwetsbaarheden werden ontdekt door de Google Threat Analysis Group, die zich richt op het opsporen van door overheden gesponsorde aanvallen. Dit soort aanvallen heeft doorgaans als doel om inbreuk te maken op privacy of systemen, wat de ernst van de kwetsbaarheden benadrukt.

De updates die Apple heeft uitgebracht, bieden bescherming tegen deze kwetsbaarheden, maar de impact van eerdere aanvallen kan nog steeds verder onderzocht worden. De snelheid waarmee deze kwetsbaarheden werden verholpen, toont aan hoe belangrijk het is voor techbedrijven om snel en effectief te reageren op bedreigingen in de digitale wereld.

Bron 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 12 december 2025 een kwetsbaarheid in de Sierra Wireless AirLink ALEOS-routers toegevoegd aan haar lijst van Actief Misbruikte Kwetsbaarheden (KEV), nadat meldingen van actieve exploitatie in het wild waren ontvangen. De kwetsbaarheid, aangeduid als CVE-2018-4063, maakt het mogelijk voor aanvallers om via een onbeperkte bestandsoverdracht op de router op afstand code uit te voeren.

De kwetsbaarheid bevindt zich in de "upload.cgi"-functie van de AirLink ES450-firmware versie 4.9.3. Door een speciaal aangepaste HTTP-aanroep kunnen kwaadwillenden een bestand uploaden, waardoor uitvoerbare code wordt geüpload naar de webserver van het apparaat. Als de aanvaller een geauthenticeerde HTTP-aanroep doet, kan de kwaadaardige code uitgevoerd worden met verhoogde rechten, aangezien de ACEManager-software draait met root-privileges. Dit maakt de kwetsbaarheid bijzonder riskant voor systemen die deze routers gebruiken.

De kwetsbaarheid werd oorspronkelijk ontdekt door Cisco Talos in 2019 en werd toen al als ernstig aangemerkt, maar bleef onopgelost. De exploitatie van deze bug kan leiden tot ernstige beveiligingsrisico's, vooral in industriële omgevingen waar deze routers vaak worden ingezet. CISA adviseert overheidsinstellingen en andere kwetsbare organisaties om hun apparaten onmiddellijk bij te werken naar een ondersteunde versie van de firmware of het gebruik van de apparaten vóór 2 januari 2026 te stoppen, aangezien de router met deze firmware versie niet langer wordt ondersteund.

Deze kwetsbaarheid komt naar voren in het licht van een recent rapport van Forescout, waarin werd vastgesteld dat industriële routers de meest aangevallen apparaten zijn in operationele technologie-omgevingen. De kwetsbaarheid is actief misbruikt in aanvallen waarbij malware zoals botnets en cryptominerprogramma's werden ingezet.

De ontdekking van deze kwetsbaarheid benadrukt de noodzaak voor organisaties om beveiligingsmaatregelen te nemen en kwetsbaarheden in hun netwerkinfrastructuur regelmatig te controleren en bij te werken. De voortdurende exploitatie van dergelijke kwetsbaarheden toont de uitdagingen aan waarmee industriële netwerken vandaag de dag worden geconfronteerd.

Bron 1, 2

Er zijn nieuwe kwetsbaarheden ontdekt in de React Server Components (RSC), die eerder deze maand al getroffen werden door de React2Shell-kwetsbaarheid. Deze nieuwe problemen betreffen DoS (Denial of Service) en de blootstelling van broncode, maar stellen geen risico op remote code execution (RCE). De patch voor de React2Shell-kwetsbaarheid blijft effectief, maar ontwikkelaars die recent hebben bijgewerkt, moeten opnieuw een update uitvoeren om de nieuwe kwetsbaarheden te verhelpen.

De DoS-kwetsbaarheid (CVE-2025-55184 en CVE-2025-67779) kan een server laten vastlopen door een kwaadwillend verzoek naar een RSC-eindpunt. Dit verzoek kan een oneindige lus tijdens de deserialisatie veroorzaken, wat leidt tot een verbruik van CPU-kracht en het vastlopen van de server. De aanvankelijke fix voor CVE-2025-55184 was onvolledig, wat leidde tot de opvolger CVE-2025-67779.

De tweede kwetsbaarheid (CVE-2025-55183) houdt verband met de blootstelling van broncode. Een op maat gemaakt verzoek kan ervoor zorgen dat een server gecompileerde broncode van een kwetsbare serverfunctie teruggeeft. Dit kan bedrijfslogica of hardgecodeerde geheimen blootstellen, maar runtime geheimen, zoals omgevingsvariabelen, blijven buiten schot.

De kwetsbaarheden treffen diverse RSC-pakketten die worden gebruikt door frameworks zoals Next.js en bundelaars die React Server Components implementeren, zoals Vite en Parcel. Versies van de RSC-pakketten die kwetsbaar zijn, variëren van 19.0.0 tot 19.2.1, inclusief latere versies die de DoS-kwetsbaarheid bevatten. Gebruikers van apps die geen React Server Components gebruiken, worden niet getroffen.

React heeft inmiddels geüpdatete versies van de RSC-pakketten uitgebracht (versies 19.0.3, 19.1.4 en 19.2.3). Framework-auteurs, waaronder Vercel voor Next.js, hebben deze fixes geïntegreerd. Teams die vorige week al hebben geüpdatet naar veilige versies (19.0.2, 19.1.3, 19.2.2), moeten opnieuw upgraden naar de nieuwste versie.

Het is essentieel om onmiddellijk te upgraden naar de gepatchte versies en waar nodig hardgecodeerde geheimen in de broncode te roteren. Ontwikkelaars die afhankelijk zijn van kwetsbare versies van RSC moeten hun projecten opnieuw scannen en hun builds zo snel mogelijk bijwerken.

Bron 1

Nieuw onderzoek van de KU Leuven heeft veiligheidsrisico's blootgelegd die gepaard gaan met ingebouwde browsers in apparaten zoals smart-tv's, e-readers en voertuigen. Deze browsers, die vaak worden gebruikt om internetpagina's te laden, blijken in veel gevallen achter te lopen op de laatste beveiligingsupdates. In sommige gevallen waren de browsers bij levering al drie jaar niet bijgewerkt, wat aanzienlijke beveiligingsrisico's met zich meebrengt.

Het gebruik van deze ingebouwde browsers voor gevoelige online activiteiten, zoals bankieren of online winkelen, kan leiden tot kwetsbaarheden die door hackers kunnen worden misbruikt. Het probleem komt doordat de apparaten vaak worden geleverd met verouderde software die niet automatisch wordt bijgewerkt of niet gemakkelijk handmatig kan worden bijgewerkt door de gebruiker. Dit maakt ze tot een potentieel doelwit voor aanvallers die gebruik maken van deze verouderde software om toegang te krijgen tot persoonlijke gegevens.

De onderzoekers wijzen erop dat veel gebruikers zich niet bewust zijn van de risico's van het gebruik van deze ingebouwde browsers, omdat de apparaten vaak als veilig en vertrouwd worden beschouwd. In veel gevallen hebben de fabrikanten de beveiliging van de browsers niet als prioriteit gesteld, ondanks het feit dat steeds meer apparaten verbonden zijn met het internet. Dit vergroot de kans op aanvallen zoals gegevensdiefstal, malware-infecties en andere vormen van cybercriminaliteit.

Desondanks zijn er manieren om het risico te verminderen. De onderzoekers raden aan om geen gevoelige online transacties uit te voeren via de ingebouwde browsers van dergelijke apparaten. In plaats daarvan wordt aangeraden om voor dergelijke activiteiten gebruik te maken van een desktop of mobiel apparaat dat regelmatig wordt bijgewerkt met de nieuwste beveiligingspatches. Daarnaast wordt gebruikers geadviseerd om regelmatig de instellingen van hun apparaten te controleren en, indien mogelijk, beveiligingsupdates handmatig uit te voeren.

De ontdekking van deze kwetsbaarheden benadrukt het belang van digitale veiligheid en het regelmatig bijwerken van apparaten om te beschermen tegen cyberdreigingen. Dit is vooral relevant nu steeds meer apparaten worden verbonden met het internet en de risico's van cyberaanvallen toenemen. De onderzoekers benadrukken dat consumenten zich bewust moeten zijn van de potentiële gevaren en voorzichtig moeten omgaan met hun digitale gegevens.

Bron 1

De afgelopen dagen zijn er verschillende kwetsbaarheden vastgesteld die wereldwijd en in Nederland en België actief worden misbruikt door hackers. Deze kwetsbaarheden zijn gedetecteerd via honeypot-sensoren, die verdachte activiteiten registreren en aanvallen in kaart brengen. Het identificeren van deze kwetsbaarheden helpt organisaties om urgente beveiligingsmaatregelen te treffen en hun systemen te beschermen tegen cyberdreigingen.

In Nederland staan enkele kwetsbaarheden in populaire producten zoals de Metabase-software en Cisco’s RV320/RV325 routers op de lijst van meest aangevallen systemen. De kwetsbaarheid CVE-2023-38646 in Metabase wordt al geruime tijd misbruikt en wordt geassocieerd met een significant aantal aanvallen, wat het belang van een snelle patch benadrukt. Evenzo wordt CVE-2025-5777 in Citrix NetScaler, een product dat veel wordt gebruikt voor netwerkbeveiliging, steeds vaker uitgebuit. Beide kwetsbaarheden zijn kritiek omdat ze vaak worden geassocieerd met ransomware-aanvallen.

In België is de situatie niet veel anders. De kwetsbaarheid CVE-2017-18368 in verschillende Zyxel-modellen wordt daar nog steeds misbruikt. Deze kwetsbaarheid, die is aangetroffen in routers, wordt gelinkt aan zowel IoT-apparaten als bekende exploits. De impact van deze kwetsbaarheid kan verregaande gevolgen hebben voor de beveiliging van netwerken die afhankelijk zijn van dergelijke apparaten.

Naast deze specifieke kwetsbaarheden is er wereldwijd veel aandacht voor de exploitatie van apparaten binnen het Internet of Things (IoT). De kwetsbaarheid CVE-2017-17215 in Huawei’s Home Gateway HG532 wordt al jarenlang actief misbruikt, met een relatief hoog aantal aanvallen in de afgelopen 90 dagen. Dit benadrukt het blijvende risico van verouderde IoT-apparaten die nog steeds in gebruik zijn zonder de nodige updates.

Een andere belangrijke trend is de groeiende exploitatie van kwetsbaarheden die specifiek gericht zijn op ransomware-aanvallen. De afgelopen maanden is er een significante toename van aanvallen die gebruik maken van de kwetsbaarheid CVE-2025-55182 in Meta’s React Server Components. Dit geeft aan dat ransomware-aanvallen zich niet alleen richten op verouderde systemen, maar ook op populaire, moderne platformen die niet tijdig zijn gepatcht.

Naast de technische details van de kwetsbaarheden, wordt in de informatie ook aangegeven of een kwetsbaarheid al dan niet op de bekende Exploited Vulnerabilities (KEV) lijst van CISA staat. Dit is een belangrijke indicator voor de urgentie van het patchen van systemen. Organisaties worden aangespoord om snel te reageren op kwetsbaarheden die op deze lijst staan, omdat ze al actief worden misbruikt door aanvallers.

Samenvattend blijkt uit de statistieken dat zowel verouderde als moderne kwetsbaarheden een groot risico vormen voor zowel bedrijven als overheden in Nederland, België en wereldwijd. Het is van essentieel belang dat er een focus ligt op het patchen van deze kwetsbaarheden en het versterken van de cybersecuritymaatregelen om schade door cyberaanvallen te voorkomen.

Naar overzicht

In de afgelopen 24 uur zijn er verschillende kritieke kwetsbaarheden (CVE's) op sociale media trending, wat wijst op de urgentie van de beveiligingsrisico's die deze kwetsbaarheden met zich meebrengen. Een "hype score" tussen 0 en 100 wordt gebruikt om de mate van aandacht voor een specifieke kwetsbaarheid te meten, waarbij een hogere score wijst op grotere zorg over de mogelijke impact en de snelheid waarmee actie vereist is. Deze scores helpen beveiligingsteams prioriteit te geven aan welke kwetsbaarheden eerst aangepakt moeten worden.

Een van de meest besproken kwetsbaarheden is CVE-2025-55182, een kritieke ongeauthenticeerde remote code execution (RCE) kwetsbaarheid in React Server Components (RSC) versies 19.0.0 tot 19.2.0. Deze kwetsbaarheid heeft een hype score van 36 en wordt geassocieerd met een breed scala aan React-gebaseerde applicaties. Exploitatie van deze kwetsbaarheid vereist slechts een speciaal gevormd HTTP-verzoek, wat het risico verhoogt, vooral omdat er al patches beschikbaar zijn voor React en Next.js.

Daarnaast wordt CVE-2025-43529, een use-after-free kwetsbaarheid in WebKit, ook veel besproken. Deze kwetsbaarheid kan worden misbruikt door kwaadaardige webinhoud, waardoor het mogelijk is om op verschillende Apple-platformen zoals iOS, macOS en Safari schade aan te richten. Apple heeft al beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen.

CVE-2025-46279 heeft ook veel aandacht getrokken. Het betreft een machtigingsprobleem in de Apple Kernel, dat invloed heeft op apparaten zoals de iPhone 11 en later. Exploitatie van deze kwetsbaarheid kan leiden tot privileges die verder gaan dan de gebruikelijke machtigingen, wat potentieel kan leiden tot een verhoogd risico op misbruik.

Verder zijn er meerdere kwetsbaarheden gerapporteerd in verschillende versies van populaire applicaties en platforms. Bijvoorbeeld CVE-2025-67846 in de WordPress User Extra Fields plugin, die geauthenticeerde aanvallers in staat stelt willekeurige bestanden op een server te verwijderen. Daarnaast werden meerdere kwetsbaarheden in de Simple Forum software ontdekt, waaronder kritieke SQL-injecties in versie 1.0 van het platform.

In totaal zijn er de afgelopen dagen tientallen kwetsbaarheden besproken, variërend van out-of-bounds geheugen toegang tot denial-of-service risico’s, die allemaal de aandacht van beveiligingsexperts vereisen om potentiële aanvallen te voorkomen.

Naar overzicht

Apple is in opspraak geraakt omdat het gebruikers niet de optie biedt om een beveiligingsupdate voor iOS 18 te installeren, terwijl het bedrijf in plaats daarvan uitsluitend de upgrade naar iOS 26.2 aanbiedt. Afgelopen week bracht Apple beveiligingsupdates uit voor iOS, die onder andere twee actief aangevallen kwetsbaarheden verhelpen. Deze kwetsbaarheden stellen aanvallers in staat om malafide code uit te voeren op iPhones. De versies 18.7.3 voor iOS 18 en 26.2 voor iOS 26 zijn de enige die momenteel door Apple worden ondersteund.

Veel iPhone-gebruikers die nog iOS 18 gebruiken, melden op platforms zoals Reddit en Hacker News dat de update naar versie 18.7.3 niet wordt aangeboden. In plaats daarvan wordt hen enkel de optie geboden om te upgraden naar iOS 26.2. Alleen voor de iPhone XS en XR is versie 18.7.3 nog beschikbaar. Sommige gebruikers hebben geprobeerd om versie 18.7.3 toch te installeren door zich aan te melden voor het betaprogramma van Apple, terwijl anderen klaagden over het gebrek aan duidelijkheid van het bedrijf.

Apple heeft volgens berichten bevestigd dat iOS 26.2 de enige aangeboden versie is, behalve voor de genoemde iPhone-modellen. De situatie heeft veel onvrede veroorzaakt onder gebruikers, met beschuldigingen dat Apple hen verplicht om over te stappen naar een nieuwere versie, mogelijk met als doel winst te maximaliseren. Dit heeft geleid tot verdere kritiek, met argumenten dat Apple geen harde einddatums hanteert voor oudere iOS-versies en updates selectief aanbiedt op basis van de compatibiliteit met hun apparaten.

Deze controverse roept vragen op over Apple's updatebeleid en de keuzes die het bedrijf maakt bij het aanbieden van beveiligingspatches voor oudere apparaten. Gebruikers speculeren over mogelijke fouten in de update, of dat Apple deze bewust heeft teruggetrokken vanwege problemen met de compatibiliteit van bepaalde apparaten.

Bron 1, 2

Samsung heeft een kritieke kwetsbaarheid in zijn Galaxy-telefoons stilletjes gepatcht, zo meldt Google. Het lek, aangeduid als CVE-2025-21042, werd actief gebruikt door aanvallers om de telefoons te infecteren met spyware. De kwetsbaarheid was te vinden in een library die door Samsung wordt gebruikt voor het verwerken van afbeeldingen. Via een speciaal voorbereide DNG-afbeelding kon een aanvaller via dit lek code uitvoeren op kwetsbare apparaten. De aanvallen werden vermoedelijk via WhatsApp-berichten verspreid naar de slachtoffers.

Beveiligingsonderzoekers hadden eerder ontdekt dat via deze kwetsbaarheid de Landfall-spyware werd geïnstalleerd. Deze spyware, die speciaal gericht was op Galaxy-telefoons, werd gebruikt tegen doelwitten in het Midden-Oosten, met name in landen zoals Turkije, Marokko, Iran en Irak. Wanneer de spyware actief was, kon deze onder andere de microfoon van de telefoon inschakelen om gesprekken af te luisteren, de locatie van het slachtoffer volgen en gegevens zoals foto's, contacten en gesprekslogs verzamelen.

Google bracht meer details naar buiten over de exploit van deze kwetsbaarheid, die tussen juli 2024 en februari 2025 werd geüpload naar de virusscanner VirusTotal. Dankzij een tip van Meta werd Google’s onderzoek opgestart, wat uiteindelijk leidde tot de ontdekking van de kwetsbaarheid in de Quram library, die specifiek door Samsung wordt gebruikt. Samsung bracht in april een update uit om het lek te verhelpen, maar het werd pas in september openbaar gemaakt. Volgens Google heeft Samsung de kwetsbaarheid stilletjes gepatcht. Het bedrijf heeft inmiddels bevestigd dat alle ondersteunde Galaxy-telefoons nu de benodigde beveiligingsupdate hebben ontvangen.

Bron 1

Microsoft heeft bevestigd dat de beveiligingsupdates van december 2025 voor Windows-systemen problemen veroorzaken met de functionaliteit van Message Queuing (MSMQ). Dit heeft invloed op zowel bedrijfsapplicaties als websites die draaien op Internet Information Services (IIS). Het probleem treedt op op systemen die de updates KB5071546, KB5071544 en KB5071543 hebben geïnstalleerd, die deze maand werden uitgebracht tijdens Patch Tuesday.

Op de getroffen systemen ervaren gebruikers diverse problemen, waaronder inactieve MSMQ-queuen en IIS-websites die niet functioneren met de foutmelding "onvoldoende bronnen". Daarnaast wordt ten onrechte de melding "Er is onvoldoende schijfruimte of geheugen" weergegeven, terwijl de systemen voldoende bronnen beschikbaar hebben.

Het probleem wordt veroorzaakt door veranderingen in het beveiligingsmodel van de MSMQ-service, die de machtigingen voor een belangrijk systeemmap hebben gewijzigd. Hierdoor is schrijfrechten op een map die normaal alleen voor beheerders toegankelijk is, vereist voor MSMQ-gebruikers. Deze wijziging treft systemen waar gebruikers niet met een administratief account zijn ingelogd.

Microsoft onderzoekt de situatie, maar heeft nog geen tijdlijn voor een oplossing verstrekt. Voorlopig kunnen systeembeheerders overwegen de updates terug te draaien, al brengt dit mogelijk extra beveiligingsrisico's met zich mee. MSMQ, een optionele Windows-service, wordt veel gebruikt voor netwerkcommunicatie binnen bedrijfsomgevingen.

Bron 1

Een recente reeks Windows 11-beveiligingsupdates heeft VPN-connectiviteitsproblemen veroorzaakt voor gebruikers van het Windows Subsystem for Linux (WSL) in zakelijke omgevingen. Microsoft heeft erkend dat de updates, waaronder de KB5067036-update van oktober 2025 en de cumulatieve KB5072033-update van december 2025, het netwerkverkeer beïnvloeden bij het gebruik van VPN's in combinatie met WSL. Deze problemen kunnen organisaties in Nederland en België raken die WSL gebruiken voor het draaien van Linux-distributies op hun Windows-systemen, met name in omgevingen die afhankelijk zijn van VPN-oplossingen zoals OpenVPN en Cisco Secure Client.

Het probleem komt voort uit een netwerkmodus in WSL, bekend als "mirrored mode networking," die werd geïntroduceerd om de compatibiliteit met VPN's te verbeteren. Gebruikers die zijn getroffen door de bug ondervinden netwerkfouten, waaronder de melding "No route to host", wanneer ze VPN-verbindingen proberen tot stand te brengen. Dit heeft gevolgen voor de toegang tot bedrijfsbronnen via VPN, vooral voor toepassingen die gebruik maken van virtuele netwerkinterfaces, die niet correct reageren op ARP-verzoeken (Address Resolution Protocol).

Microsoft heeft aangegeven dat de meeste thuisgebruikers geen last van dit probleem zullen ondervinden, aangezien het voornamelijk van invloed is op zakelijke gebruikers. Het bedrijf onderzoekt momenteel het probleem, maar heeft nog geen oplossing of workarounds gepresenteerd. Aangezien WSL een populaire keuze is voor organisaties die Linux-toepassingen draaien op Windows-systemen, heeft dit probleem aanzienlijke gevolgen voor de bedrijfsvoering in Nederland en België, vooral voor bedrijven die afhankelijk zijn van betrouwbare VPN-toegang.

Bron 1

FreePBX, een open-source platform voor private branch exchange (PBX), heeft meerdere kritieke kwetsbaarheden gepatcht die aanvallers in staat zouden stellen om op afstand code uit te voeren (RCE). Deze kwetsbaarheden, ontdekt door Horizon3.ai, omvatten SQL-injecties, kwetsbaarheden in bestand-upload en een authenticatie-bypass. De ontdekte kwetsbaarheden werden eerst gerapporteerd op 15 september 2025 en werden snel aangepakt door het FreePBX-team.

Een van de ernstigste kwetsbaarheden is CVE-2025-66039, die het mogelijk maakte om de authenticatie te omzeilen wanneer de "Authorization Type" (AUTHTYPE) was ingesteld op "webserver". Dit gaf aanvallers de mogelijkheid om in te loggen op het beheerpaneel van FreePBX zonder geldige inloggegevens door een vervalst "Authorization" header te sturen. Dit probleem deed zich echter alleen voor in specifieke configuraties, waarin bepaalde geavanceerde instellingen waren geactiveerd, zoals de weergave van vriendelijke namen en het overschrijven van alleen-lezen instellingen.

Daarnaast werden er meerdere SQL-injectie kwetsbaarheden ontdekt, CVE-2025-61675, die verschillende kwetsbare eindpunten betroffen en aanvallers toegang gaven tot de onderliggende SQL-database. Ook werd een bestand-upload kwetsbaarheid (CVE-2025-61678) ontdekt, die aanvallers in staat stelde om een PHP-webshell te uploaden via een kwetsbaar uploadpunt voor firmware. Deze kwetsbaarheid stelde aanvallers in staat om willekeurige commando’s uit te voeren, waardoor gevoelige bestanden zoals "/etc/passwd" konden worden bekeken.

De kwetsbaarheden werden gerepareerd in de versies 16.0.92 en 17.0.6 op 14 oktober 2025 voor de SQLi- en bestand-upload kwetsbaarheden, en in de versies 16.0.44 en 17.0.23 op 9 december 2025 voor de AUTHTYPE bypass. Gebruikers van FreePBX werden aangespoord om hun systemen bij te werken naar de nieuwste versies en om, als tijdelijke maatregel, de "Authorization Type" in de geavanceerde instellingen naar "usermanager" in te stellen en "Override Readonly Settings" uit te schakelen.

Het is van belang dat gebruikers van FreePBX hun systemen grondig controleren op tekenen van mogelijke compromittering, vooral als het "webserver" AUTHTYPE per ongeluk was ingeschakeld, aangezien de kwetsbaarheid actief is misbruikt. De waarschuwingen op het dashboard adviseren ook om "webserver" te vermijden vanwege de verminderde beveiliging in vergelijking met "usermanager".

De updates en aanbevelingen zijn een belangrijke stap in het verbeteren van de beveiliging van FreePBX-instanties, en het wordt sterk aangeraden om deze patches zo snel mogelijk toe te passen om aanvallen te voorkomen.

Bron 1

Twee kritieke kwetsbaarheden in verschillende Fortinet-producten zijn begin december 2025 misbruikt bij cyberaanvallen, slechts drie dagen nadat ze officieel bekend werden gemaakt. Deze kwetsbaarheden, aangeduid met de CVE-nummers CVE-2025-59718 en CVE-2025-59719, bevinden zich in de FortiOS-, FortiProxy-, FortiSwitchManager- en FortiWeb-software. De problemen ontstaan doordat de cryptografische handtekening bij de FortiCloud SSO login niet goed wordt gecontroleerd, wat het mogelijk maakt voor aanvallers om de authenticatie om te zeilen.

Deze kwetsbaarheden worden als ernstig beoordeeld, met een risicoscore van 9.1 op een schaal van 1 tot 10. Ze stellen aanvallers in staat om ongeautoriseerde toegang te krijgen tot gevoelige gegevens, waaronder API-informatie en andere netwerkbronnen. Dit kan ernstige gevolgen hebben voor netwerken die gebruik maken van de FortiCloud SSO login, die doorgaans wordt gebruikt voor toegang tot meerdere Fortinet-producten met één set inloggegevens. Hoewel de FortiCloud SSO login niet standaard is ingeschakeld, blijven de kwetsbaarheden gevaarlijk voor systemen die deze functie actief gebruiken.

Fortinet bracht de kwetsbaarheden op 9 december naar buiten en adviseerde onmiddellijk beveiligingsupdates te installeren. De aanvallen die op 12 december werden gedetecteerd, gebruikten speciaal geprepareerde SAML-berichten om de FortiCloud SSO login te omzeilen. In sommige gevallen werden de configuraties van de getroffen netwerkapparaten gestolen, inclusief inloggegevens die vaak in gehashte vorm in de configuraties zijn opgeslagen. Het is bekend dat aanvallers hashes kunnen kraken, vooral als de wachtwoorden zwak zijn en vatbaar voor woordenboek-aanvallen.

Het securitybedrijf Arctic Wolf ontdekte de eerste tekenen van misbruik van de kwetsbaarheden en deelde IP-adressen van de aanvallers. Fortinet adviseerde gebruikers om de FortiCloud SSO login tijdelijk uit te schakelen totdat ze konden upgraden naar een veilige versie van de software.

Bron 1, 2

Een nieuwe beveiligingsbeoordeling van Kaspersky heeft aangetoond hoe kwetsbaar de modems van voertuigen kunnen zijn voor aanvallen. Onderzoek naar een modem in een Chinese wagen, die veelal wordt toegepast in moderne voertuigen, onthulde verschillende kritieke kwetsbaarheden die een aanvaller in staat stellen om op afstand toegang te krijgen tot de hoofdunit van het voertuig, een essentieel onderdeel voor de bediening van multimedia en navigatie.

De test richtte zich op de Unisoc UIS7862A System-on-Chip (SoC), die onder andere in de modems van voertuigen wordt gebruikt. Dit SoC bevat een geïntegreerde 2G/3G/4G-modem en een krachtig processorplatform voor het afhandelen van meerdere taken tegelijkertijd. Tijdens de evaluatie werden verschillende beveiligingsproblemen gevonden binnen de modemstack, met name in de 3G RLC-protocolimplementatie (CVE-2024-39432), die een zogeheten buffer overflow aansteken. Dit zorgt ervoor dat een aanvaller, zodra de verbinding wordt opgezet, in staat is om op afstand eigen code uit te voeren op de modem zonder dat andere beveiligingsmechanismen geactiveerd zijn.

Het interessante aan deze ontdekking is de mogelijkheid om via de modem niet alleen toegang te krijgen tot de modem zelf, maar ook tot het volledige SoC van het voertuig. Nadat Kaspersky toegang verkreeg tot de modem, gingen ze verder met het infiltreren van het systeem en ontdekten een verborgen DMA-apparaat in het hardwareplatform, wat hen in staat stelde om zich verder binnen het systeem te verplaatsen. Uiteindelijk werden ze zelfs in staat gesteld om toegang te krijgen tot het Android-systeem van de hoofdunit, waar ze hun eigen code konden uitvoeren met de hoogste privileges.

Deze bevindingen wijzen op een potentiële gevarenbron voor de cyberveiligheid van moderne voertuigen, waar voertuigen steeds meer verbonden zijn met netwerken via modems die de communicatie verzorgen. Het is cruciaal dat autofabrikanten en systeemontwikkelaars aandacht blijven besteden aan de veiligheid van de SoC-architectuur, aangezien kwetsbaarheden op dit niveau ernstige gevolgen kunnen hebben voor zowel de privacy van gebruikers als de veiligheid op de weg.

Met de opkomst van Internet of Things (IoT) in voertuigen en andere kritieke infrastructuren neemt het belang van dergelijke beveiligingsonderzoeken toe. De ontdekking benadrukt de noodzaak voor robuuste beveiligingsmaatregelen binnen het ontwerp van voertuigsystemen om dergelijke toegangspunten voor aanvallers te blokkeren.

Bron 1

Apple en Google hebben beide noodpatches uitgebracht voor zero-day kwetsbaarheden die actief werden misbruikt door aanvallers in zogenaamde "geavanceerde" aanvallen. Beide techgiganten hebben de afgelopen dagen updates verspreid om kwetsbaarheden te verhelpen die door aanvallers al werden gebruikt tegen een onbekend aantal doelwitten. Dit heeft gebruikers gedwongen de patches onmiddellijk te installeren zonder veel technische details te ontvangen.

Apple heeft recente beveiligingsupdates uitgerold voor verschillende apparaten in zijn ecosysteem, waaronder iPhones, iPads en Macs. De updates verhelpen twee kwetsbaarheden in WebKit, de engine die wordt gebruikt in de Safari-webbrowser. Apple meldde dat deze kwetsbaarheden mogelijk zijn misbruikt in een "extreem geavanceerde aanval" tegen specifieke doelwitten. Hoewel Apple weinig technische informatie deelde, werd benadrukt dat de kwetsbaarheden daadwerkelijk werden uitgebuit en zich al in de praktijk bevonden.

Google heeft eveneens een update voor de stabiele versie van de Chrome-browser uitgebracht, die meerdere beveiligingslekken aanpakt, waaronder een zero-day kwetsbaarheid die al werd misbruikt voordat er een oplossing beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-14174, betreft een "out-of-bounds" geheugen toegangsfout. Google gaf aan op de hoogte te zijn van het feit dat deze kwetsbaarheid in het wild werd geëxploiteerd.

Beide bedrijven vermeldden weinig technische details over de aanvallen, maar het lijkt erop dat de misbruikte kwetsbaarheden vooral werden gebruikt in spyware-achtige aanvallen, in plaats van opportunistische aanvallen. Dit suggereert dat de aanvallen gericht waren op specifieke doelwitten en niet op brede, willekeurige slachtoffers.

Deze zero-day kwetsbaarheden dragen bij aan een groeiend aantal kwetsbaarheden die door zowel Apple als Google moesten worden gepatcht. Tot nu toe heeft Apple in 2025 negen kwetsbaarheden gepatcht die actief werden misbruikt, terwijl Google al acht zero-day kwetsbaarheden in Chrome heeft opgelost, wat erop wijst dat aanvallers browsers en mobiele platforms blijven beschouwen als aantrekkelijke doelwitten.

Bron 1

Cisco heeft een waarschuwing uitgegeven over een ernstige kwetsbaarheid in de Secure Email Gateway (SEG) en Secure Email & Web Manager (SEWM). De kwetsbaarheid (CVE-2025-20393), die een score van 10.0 op de schaal van 1 tot 10 heeft gekregen, kan door aanvallers worden misbruikt om willekeurige commando's uit te voeren met rootrechten op het onderliggende besturingssysteem van de appliance. Dit vormt een groot risico voor zowel virtuele als fysieke versies van de appliances, die worden gebruikt voor het filteren van e-mailverkeer op dreigingen.

Het beveiligingslek wordt actief misbruikt door cybercriminelen. De aanval richt zich op systemen die geconfigureerd zijn met de Spam Quarantine-functie, die vanaf het internet toegankelijk is. Het is belangrijk op te merken dat deze functie standaard niet is ingeschakeld. Zodra de aanvallers toegang hebben verkregen, installeren ze een "persistent covert channel" waarmee ze langdurige toegang tot het apparaat kunnen behouden. Dit maakt het moeilijk voor de getroffen organisaties om de controle over hun systemen terug te krijgen.

Cisco heeft aangegeven dat de kwetsbaarheid alle versies van Cisco AsyncOS, het besturingssysteem dat draait op de appliances, treft. Op dit moment is er geen beveiligingsupdate beschikbaar, maar Cisco adviseert om de Spam Quarantine-poort niet vanaf het internet bereikbaar te maken. In het geval van een succesvolle aanval, stelt Cisco dat een "rebuild" van de appliance noodzakelijk is om de persistentie van de aanvallers te verwijderen en het systeem weer veilig te maken.

De waarschuwing benadrukt het belang van het beperken van externe toegang tot gevoelige beveiligingsfuncties en het snel reageren op nieuwe beveiligingsproblemen in bedrijfskritieke systemen.

Bron 1

In 2019 werd een ernstige supplychain-aanval via de Asus Live Update-software ontdekt, waarbij aanvallers kwaadaardige updates hadden verspreid die een backdoor op de getroffen systemen installeerden. Dit beveiligingslek heeft nu een officieel CVE-nummer gekregen: CVE-2025-59374. Het incident vond plaats van juni tot november 2018, maar de kwetsbaarheid werd pas recent erkend met een CVE-nummer, waarmee het officieel in de database van beveiligingskwetsbaarheden is opgenomen.

De Asus Live Update-software is een applicatie die automatisch zorgt voor het bijwerken van drivers, software en BIOS voor Asus-computers. Miljoenen computers wereldwijd maken gebruik van deze software, wat het een aantrekkelijk doelwit maakte voor de aanvallers. De malafide updates werden via deze software verspreid en leidden tot het installeren van een backdoor op de getroffen apparaten. Deze backdoor gaf de aanvallers de mogelijkheid om toegang te krijgen tot de systemen en aanvullende malware te installeren.

De kwetsbaarheid werd geëxploiteerd op computers die bepaalde voorwaarden voldeden, hoewel de specifieke acties die werden uitgevoerd door de getroffen systemen niet gedetailleerd zijn in de CVE-beschrijving. Het is wel bekend dat de aanvallers MAC-adressen van de doelwitten verzamelden via wifi, wat hielp bij het doelgericht installeren van aanvullende malware.

Het beveiligingslek, dat nu is aangeduid als CVE-2025-59374, heeft een impactscore van 9.3 op een schaal van 1 tot 10, wat wijst op een zeer ernstige kwetsbaarheid. Asus zelf heeft aangegeven dat de kwetsbare versies van de Live Update-software sinds 2021 niet meer worden ondersteund. Recent werd bekend dat de Live Update-software volledig is stopgezet, wat betekent dat gebruikers niet langer ondersteund worden bij het gebruik van deze applicatie.

De Amerikaanse cyberbeveiligingsorganisatie CISA heeft de kwetsbaarheid toegevoegd aan de lijst van 'Aangevallen Kwetsbaarheden' en waarschuwt overheidsinstanties om de software niet langer te gebruiken. Gezien de ernst van de aanval en het brede gebruik van de Asus Live Update-software, blijft deze kwetsbaarheid een belangrijk aandachtspunt in de wereld van cybersecurity.

Bron 1, 2

SonicWall heeft onlangs updates uitgebracht om een ernstige kwetsbaarheid in de SMA1000-gateways te verhelpen. Het beveiligingslek, geïdentificeerd als CVE-2025-40602, werd actief misbruikt in aanvallen voordat een patch beschikbaar werd gesteld. Dit lek kan door aanvallers worden misbruikt in combinatie met een andere kwetsbaarheid, CVE-2025-23006, die toegang biedt tot het systeem. Met deze combinatie kan een ongeauthenticeerde aanvaller op kwetsbare systemen code uitvoeren met rootrechten.

De SMA1000-gateways van SonicWall worden veelvuldig gebruikt om veilige toegang tot netwerken te bieden, zoals voor VPN-functionaliteit en load balancing. De kwetsbaarheid in CVE-2025-23006 stelde aanvallers in staat om op afstand commando's uit te voeren zonder dat authenticatie vereist was. Het tweede beveiligingslek, CVE-2025-40602, maakte het vervolgens mogelijk voor een aanvaller om zijn rechten op een gecompromitteerd systeem te verhogen. Dit vergrootte de risico's voor gebruikers van de SMA1000.

De kwetsbaarheid werd eerst op 22 januari 2025 gemeld, toen SonicWall een update voor CVE-2025-23006 uitbracht. Pas recent, op de avond van 17 december 2025, werd ook een patch beschikbaar gesteld voor CVE-2025-40602. Het bedrijf heeft de Microsoft Threat Intelligence Center en de Google Threat Intelligence Group bedankt voor hun meldingen van de kwetsbaarheden. Door de snelle respons van deze partijen kon SonicWall tijdig een oplossing bieden voor de beveiligingsproblemen die actief werden misbruikt.

Bron 1

Hewlett Packard Enterprise (HPE) heeft een ernstige kwetsbaarheid in zijn OneView-software gepatcht, die het mogelijk maakt voor aanvallers om op afstand willekeurige code uit te voeren. De kwetsbaarheid, die het hoogst mogelijke risiconiveau heeft, betreft de versie van OneView voor alle versies die vóór versie 11.00 zijn uitgebracht. De zwakte, aangeduid als CVE-2025-37164, werd ontdekt door de Vietnamese beveiligingsonderzoeker Nguyen Quoc Khanh, die de kwetsbaarheid meldde aan het beveiligingsteam van HPE.

De kwetsbaarheid stelt onbevoegde aanvallers in staat om via een eenvoudige code-injectie op niet-gepatchte systemen willekeurige code uit te voeren, wat kan leiden tot volledige controle over de getroffen systemen. De aanval kan worden uitgevoerd zonder dat er enige authenticatie nodig is, waardoor de dreiging groot is. HPE adviseert gebruikers van OneView om de systemen zo snel mogelijk bij te werken naar versie 11.00 of hoger, die beschikbaar is via HPE's Software Center. Voor systemen die draaien op versies van OneView van 5.20 tot 10.20, is een beveiligings-hotfix beschikbaar. Het is belangrijk dat deze hotfix wordt toegepast voordat een upgrade naar een nieuwere versie wordt uitgevoerd.

HPE heeft nog niet bevestigd of deze kwetsbaarheid actief is misbruikt in aanvallen, maar de risico's zijn aanzienlijk vanwege het vermogen van aanvallers om volledige controle over de systemen te verkrijgen. HPE benadrukt dat er geen tijdelijke oplossingen of mitigaties beschikbaar zijn, waardoor het essentieel is voor beheerders om de noodzakelijke patches onmiddellijk toe te passen. Dit incident komt kort na eerdere kwetsbaarheden in andere HPE-producten, zoals de StoreOnce-backupoplossing, die in juni werden gepatcht.

Hewlett Packard Enterprise is een wereldwijde speler met meer dan 61.000 medewerkers en biedt producten en diensten aan meer dan 55.000 organisaties wereldwijd, waaronder 90% van de bedrijven in de Fortune 500.

Bron, 2, 3, 4

Een kritieke kwetsbaarheid in de Java-bibliotheek Apache Commons Text vormt een direct beveiligingsrisico voor systemen die gebruikmaken van verouderde versies van deze software, waaronder specifieke configuraties van Claris FileMaker Server. Het lek, bekend onder de referentie CVE-2025-46295, heeft de maximaal haalbare ernstscore van 9.8 op de CVSS-schaal ontvangen. Deze score wijst op een zeer hoge kwetsbaarheid die zonder complexe handelingen of voorafgaande toegangsrechten kan worden misbruikt.

De kern van het probleem ligt in de zogenaamde tekst-interpolatie binnen de bibliotheek. Dit is een functionaliteit die ontwikkelaars gebruiken om variabelen of placeholders in een tekst automatisch te vervangen door actuele waarden. Door de onveilige verwerking van deze invoer kunnen aanvallers kwaadaardige commando's injecteren. Omdat bepaalde interpolators in staat zijn om externe bronnen aan te roepen of systeemopdrachten uit te voeren, kan dit leiden tot volledige controle over de server op afstand, ook wel Remote Code Execution genoemd.

De kwetsbaarheid is aanwezig in alle versies van Apache Commons Text ouder dan 1.10.0. Concreet betekent dit voor gebruikers van Claris FileMaker Server dat alle versies voorafgaand aan 22.0.4 kwetsbaar zijn voor deze vorm van code-injectie. Een geslaagde aanval stelt een buitenstaander in staat om gevoelige informatie in te zien, data te wijzigen of de beschikbaarheid van de server te onderbreken zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is.

Hoewel er momenteel geen meldingen zijn van grootschalig misbruik in de praktijk, wordt de dreiging als aanzienlijk beschouwd vanwege de brede inzet van de getroffen software in zakelijke omgevingen. De architectuur van het lek vertoont overeenkomsten met eerdere incidenten waarbij tekstverwerkingsbibliotheken onvoldoende controle uitvoerden op de aard van de verwerkte data.

De softwareleverancier heeft een beveiligingsupdate uitgebracht om dit defect te verhelpen. In FileMaker Server versie 22.0.4 is de onderliggende bibliotheek bijgewerkt naar een veilige versie. Het installeren van deze update is de primaire methode om de kwetsbaarheid te elimineren. Het wordt aangeraden om naast het bijwerken van de software ook de systeemlogboeken te controleren op ongebruikelijke activiteiten, aangezien een patch enkel toekomstige incidenten voorkomt en geen oplossingen biedt voor systemen die in het verleden mogelijk al onopgemerkt zijn binnengedrongen.

Bron, 2

Er is een kritieke kwetsbaarheid vastgesteld in Plesk Obsidian versie 18.0 op Linux-systemen. Het beveiligingslek, dat geregistreerd staat onder de code CVE-2025-66430, heeft een CVSS-score van 9.1 gekregen, wat duidt op een zeer hoog risico. De fout bevindt zich in de functionaliteit voor met wachtwoord beveiligde mappen. Door een gebrekkige toegangscontrole kunnen geauthenticeerde gebruikers deze functie misbruiken om hun lokale privileges te verhogen tot het root-niveau.

De technische oorzaak van het probleem ligt bij de manier waarop het systeem omgaat met invoer binnen de beveiligde mappen. Een ingelogde gebruiker met de rechten om dergelijke mappen te beheren, kan speciaal gemanipuleerde gegevens invoeren die vervolgens door het systeem in de configuratie van de webserver worden geschreven. Wanneer de serverconfiguratie opnieuw wordt opgebouwd en geladen, wordt de geïnjecteerde configuratie verwerkt met verhoogde bevoegdheden. Dit stelt een aanvaller in staat om commando's uit te voeren als root-gebruiker, waardoor de volledige controle over de server kan worden overgenomen.

De gevolgen van een eventuele exploitatie zijn aanzienlijk, aangezien de software op grote schaal wordt gebruikt voor het beheer van servers, websites, domeinen en databases. Een succesvolle aanval kan leiden tot grootschalige datalekken, systeemuitval en het compromitteren van alle op de server aanwezige gegevens. De vertrouwelijkheid, integriteit en beschikbaarheid van digitale infrastructuren lopen hierdoor direct gevaar.

Het is noodzakelijk dat systemen die gebruikmaken van de Linux-variant van deze software de beschikbare beveiligingsupdates met de hoogste prioriteit installeren. Hoewel het patchen van de software bescherming biedt tegen toekomstige misbruikpogingen, is het belangrijk te benadrukken dat hiermee eventuele eerdere inbreuken niet ongedaan worden gemaakt. Het nauwkeurig controleren van systeemlogs op verdachte activiteiten is daarom raadzaam om vast te stellen of er in het verleden ongeoorloofde toegang heeft plaatsgevonden.

Bron

In het besturingssysteem FreeBSD is een kritieke kwetsbaarheid ontdekt die aanvallers de mogelijkheid biedt om op afstand code uit te voeren. Het beveiligingslek is geregistreerd onder kenmerk CVE-2025-14558 en heeft van beveiligingsbedrijf Tenable een impactscore van 9.8 op een schaal van 10 gekregen. De fout bevindt zich in de wijze waarop het systeem omgaat met specifieke netwerkberichten binnen het IPv6-protocol.

De kwetsbaarheid manifesteert zich bij de verwerking van Router Advertisement packets. Deze pakketten maken deel uit van het Stateless Address Autoconfiguration mechanisme, waarmee apparaten in een netwerk automatisch hun eigen IP-adres en gateway kunnen configureren zonder tussenkomst van een DHCP-server. Twee specifieke programma's binnen FreeBSD die verantwoordelijk zijn voor de afhandeling van deze netwerkberichten, valideren de binnengekomen data onvoldoende. Hierdoor wordt de inhoud van een bericht direct doorgegeven aan een intern shell-script.

Een kwaadwillende kan misbruik maken van deze situatie door gemanipuleerde Router Advertisement berichten te versturen die shell-commando's bevatten. Omdat de software de input niet zuivert, worden deze commando's direct uitgevoerd op het FreeBSD-systeem van het doelwit. Om een dergelijke aanval succesvol uit te voeren, moet de aanzoeker zich wel op hetzelfde netwerksegment bevinden als het slachtoffer.

Niet alle systemen zijn in gelijke mate vatbaar voor dit probleem. Gebruikers die IPv6 volledig hebben uitgeschakeld of van wie het systeem zodanig is geconfigureerd dat het geen Router Advertisement berichten accepteert, lopen geen direct risico. Desondanks hebben de ontwikkelaars van FreeBSD beveiligingsupdates beschikbaar gesteld om het lek te dichten. Er wordt dringend geadviseerd om deze updates te installeren om de integriteit van de systemen te waarborgen.

Bron

Firewall-leverancier WatchGuard heeft een waarschuwing afgegeven over een kwetsbaarheid in zijn netwerkapparatuur die momenteel actief wordt misbruikt. De fabrikant heeft gisteren beveiligingsupdates beschikbaar gesteld om het lek te dichten. Het is op dit moment niet bekendgemaakt sinds wanneer de aanvallen exact plaatsvinden.

De kwetsbaarheid betreft een Out-of-bounds Write in Fireware OS, het besturingssysteem van de firewalls. Dit beveiligingslek stelt ongeauthenticeerde aanvallers in staat om willekeurige code op de apparaten uit te voeren. Volgens het gepubliceerde beveiligingsbulletin raakt het probleem specifiek de mobile user VPN met IKEv2 en de branch office VPN die gebruikmaakt van IKEv2 wanneer deze is geconfigureerd met een dynamic gateway peer.

WatchGuard benadrukt dat het verwijderen van deze configuraties niet altijd voldoende is. Een Firebox kan kwetsbaar blijven als deze eerder de betreffende VPN-instellingen had en er momenteel nog een branch office VPN naar een static gateway peer geconfigureerd is. De kwetsbaarheid heeft het kenmerk CVE-2025-14733 gekregen en is geclassificeerd met een ernstscore van 9.3 op een schaal van 10. Ook Fireware OS versie 11.x is kwetsbaar voor dit lek, maar omdat deze versie de end-of-life status heeft bereikt, zijn hier geen updates voor uitgebracht.

Om organisaties te ondersteunen, heeft de leverancier Indicators of Compromise gepubliceerd waarmee beheerders kunnen controleren of hun firewall is gecompromitteerd. In september van dit jaar bracht WatchGuard al updates uit voor een identieke kwetsbaarheid met dezelfde omschrijving en impactscore. Enkele weken na het beschikbaar komen van die update bleek dat wereldwijd tienduizenden firewalls de patch nog niet hadden geïnstalleerd.

Bron

Uit onderzoek van The Shadowserver Foundation blijkt dat zeker 25.000 Fortinet-apparaten wereldwijd via het internet toegankelijk zijn terwijl zij gebruikmaken van FortiCloud SSO. In Nederland gaat het specifiek om 381 systemen en in België om 181 apparaten die hierdoor mogelijk risico lopen op cyberaanvallen. De kwetsbaarheden hebben betrekking op de manier waarop authenticatie plaatsvindt via de Single Sign-On service van de fabrikant.

De kern van het probleem ligt bij een onjuiste controle van cryptografische handtekeningen tijdens het inlogproces. Hierdoor kunnen aanvallers via een speciaal samengesteld SAML-bericht de beveiliging omzeilen en toegang krijgen tot systemen waar deze functie is ingeschakeld. Volgens informatie van het Nationaal Cyber Security Centrum kan dit misbruik leiden tot ongeautoriseerde toegang tot gevoelige gegevens en API-koppelingen binnen bedrijfsnetwerken.

De ernst van de situatie wordt onderstreept door de score van 9.1 op een schaal van 10 voor de impact van de beveiligingslekken. Het gaat specifiek om de kwetsbaarheden met de aanduidingen CVE-2025-59718 en CVE-2025-59719. Hoewel Fortinet reeds beveiligingsupdates heeft uitgebracht voor diverse producten zoals FortiOS, FortiProxy en FortiWeb, is gebleken dat kwaadwillenden al drie dagen na de beschikbaarstelling van deze patches actief misbruik maakten van de lekken.

Hoewel de aanwezigheid van een systeem in de scan van Shadowserver niet direct betekent dat het apparaat ook daadwerkelijk is gecompromitteerd, vormt de publieke toegankelijkheid een aanzienlijk risico. De onderzoekende stichting heeft aangekondigd organisaties met blootgestelde systemen gericht te informeren. Gebruikers van de getroffen producten wordt geadviseerd om de installatie van de beschikbare updates te verifiëren om verdere risico's te beperken.

Bron, NCSC

Een recent ontdekt beveiligingslek in de UEFI-firmware van diverse grote fabrikanten stelt systemen bloot aan aanvallen via Direct Memory Access gedurende de vroege opstartfase. De kwetsbaarheid treft een breed scala aan moederborden van de merken ASRock, ASUS, GIGABYTE en MSI. Het probleem doet zich voor bij architecturen die gebruikmaken van de Unified Extensible Firmware Interface in combinatie met een Input-Output Memory Management Unit.

De kern van de problematiek ligt in een discrepantie binnen de beveiligingsconfiguratie van de firmware. Hoewel de UEFI-software aangeeft dat de bescherming tegen ongeautoriseerde geheugentoegang actief is, wordt de noodzakelijke IOMMU-configuratie niet correct uitgevoerd tijdens de kritieke beginfase van het opstartproces. Deze beveiligingslaag is ontworpen om te voorkomen dat randapparatuur ongecontroleerd systeemgeheugen kan uitlezen of manipuleren voordat het besturingssysteem volledig is geladen en eigen beveiligingsmaatregelen heeft geactiveerd.

Door dit gat in de beveiliging kan een aanvaller met fysieke toegang tot de hardware een kwaadaardig PCIe-apparaat gebruiken om het systeemgeheugen te manipuleren. Dit maakt het mogelijk om gevoelige gegevens te onderscheppen of de initiële staat van het systeem te beïnvloeden via pre-boot code-injectie. Hiermee wordt de integriteit van het volledige opstartproces ondermijnd, nog voordat de kernel van het besturingssysteem actieve bescherming biedt.

Verschillende CVE-nummers zijn toegekend aan de specifieke implementatiefouten per fabrikant. Voor ASRock betreft het CVE-2025-14304, wat invloed heeft op diverse Intel-chipsets uit de 500- tot 800-series. ASUS-moederborden met uiteenlopende Intel-chipsets vallen onder CVE-2025-11901. GIGABYTE wordt geraakt door CVE-2025-14302, waarbij zowel Intel- als AMD-gebaseerde systemen kwetsbaar zijn. MSI-moederborden met Intel 600- en 700-series chipsets vallen onder CVE-2025-14303. Alle genoemde kwetsbaarheden hebben een ernstscore van 7.0 gekregen.

De betrokken fabrikanten zijn gestart met het uitrollen van firmware-updates om de initialisatievolgorde van de IOMMU te corrigeren. Deze updates dwingen de DMA-bescherming af gedurende het gehele opstartproces. Beveiligingsexperts benadrukken dat het tijdig installeren van deze patches essentieel is, zeker in omgevingen waar fysieke toegang tot hardware niet volledig kan worden uitgesloten. Omdat de IOMMU ook een fundamentele rol speelt bij isolatie in gevirtualiseerde omgevingen en cloudinfrastructuren, is de correcte configuratie van de firmware van groot belang voor de algehele systeemveiligheid.

Bron, 2, 3

Recente gegevens van honeypot-sensoren geven in week 52 van 2025 inzicht in het digitale dreigingslandschap. Deze sensoren registreren aanvallen op diverse systemen en brengen in kaart welke specifieke kwetsbaarheden door hackers worden geëxploiteerd in Nederland, België en op wereldwijd niveau. De data toont aan dat zowel verouderde apparatuur als gloednieuwe softwareframeworks doelwit zijn van geautomatiseerde aanvallen. Daarnaast wordt in de cybersecuritygemeenschap aandacht gevraagd voor de inzet van honeytokens als detectiemiddel.

Op wereldwijde schaal wordt de lijst van meest aangevallen kwetsbaarheden aangevoerd door een lek in de Huawei Home Gateway HG532, bekend onder de code CVE-2017-17215. Deze kwetsbaarheid, die zich specifiek richt op IoT-apparatuur, wordt gevolgd door een zeer recent lek uit 2025 in Meta’s React Server Components. Dit onderstreept dat aanvallers niet alleen zoeken naar onbeveiligde oude hardware, maar ook snel inspelen op nieuwe softwarefouten die op de Known Exploited Vulnerabilities (KEV) lijst staan. Andere veelvoorkomende doelwitten zijn routers van Zyxel en Dasan, waarbij in het geval van Dasan ook een bekende link met ransomware-activiteiten is vastgesteld.

Wanneer specifiek naar de situatie in Nederland wordt gekeken, toont het beeld een andere dynamiek dan de wereldwijde trend. De meest geëxploiteerde kwetsbaarheid is hier CVE-2023-38646 in Metabase, een tool voor data-analyse. De aantallen hiervan liggen significant hoger dan de overige detecties. Opvallend in de Nederlandse top tien is de aanwezigheid van diverse enterprise-oplossingen, zoals Cisco RV-routers en Citrix NetScaler. Ook in Nederland wordt het lek in Meta’s React Server Components actief misbruikt. Diverse kwetsbaarheden in deze lijst, waaronder die van Citrix, SolarWinds en Apache, staan bekend om hun connectie met ransomware-groeperingen.

De data uit België laat een lagere intensiteit van aanvallen zien in vergelijking met Nederland en de wereldwijde statistieken. De meest geregistreerde kwetsbaarheid betreft hier apparatuur van Zyxel en Billion, gevolgd door een lek in het ThinkPHP-framework. Hoewel de aantallen in absolute zin laag zijn, is het relevant dat ook hier verouderde kwetsbaarheden, zoals die in de Huawei Home Gateway, nog steeds circuleren in het netwerkverkeer.

Een analyse van de data laat zien dat IoT-apparaten een grote rol blijven spelen in het wereldwijde aanvalsvolume. Apparatuur van leveranciers zoals Realtek, Netgear en D-Link blijft kwetsbaar, vaak jaren nadat een lek bekend is geworden. Dit duidt op een trage patch-cyclus of het langdurig in gebruik houden van onveilige hardware. In de Benelux lijkt de focus van aanvallers echter sterker te liggen op software en systemen die in zakelijke omgevingen worden gebruikt, zoals data-analyseplatforms en netwerkbeheertools.

Naast de statistieken over aanvallen is er aandacht voor detectiemethoden, specifiek het gebruik van honeytokens. Dit zijn stukjes nepdata, zoals een gefingeerd wachtwoordbestand of een specifieke URL, die strategisch in een netwerk worden geplaatst. Het doel is om aanvallers te lokken; zodra iemand interactie heeft met deze data, wordt er een alarm gegenereerd. In tegenstelling tot traditionele inbraakdetectiesystemen die al het verkeer analyseren, geeft een honeytoken vrijwel altijd een indicatie van kwaadwillende activiteit, omdat reguliere gebruikers geen reden hebben om deze data te benaderen.

Ondanks de effectiviteit en de privacyvriendelijke aard van honeytokens, worden ze nog beperkt ingezet. Ze kunnen een waardevolle rol spelen in verschillende fases van de zogeheten cyber kill chain door in een vroeg stadium inzicht te geven in een mogelijke inbreuk. De techniek vergt relatief weinig beheerslast en biedt een hoge mate van zekerheid bij meldingen. De huidige discussie binnen de beveiligingssector richt zich op de vraag waarom deze methode, gezien de lage kosten en hoge waarde, nog geen standaardonderdeel is van de beveiligingsstrategie van veel organisaties.

Overzicht

In de laatste week van 2025 zijn er diverse kritieke beveiligingslekken die veel aandacht genereren op sociale media en andere online platforms. Deze mate van belangstelling wordt uitgedrukt in een hype score die inzicht geeft in de urgentie waarmee beveiligingsteams naar bepaalde dreigingen kijken. In de afgelopen vierentwintig uur is er sprake van een tiental kwetsbaarheden die variëren van command-injecties in netwerkapparatuur tot lekken in veelgebruikte webtechnologieën en besturingssystemen.

Een van de besproken kwetsbaarheden betreft PDF.js, geregistreerd onder CVE-2024-4367. Hierbij zorgt een ontbrekende controle op het type bestand bij de verwerking van lettertypen voor een beveiligingsrisico. Een aanvaller kan hierdoor willekeurige JavaScript-code uitvoeren binnen de context van de applicatie, wat kan resulteren in spionageactiviteiten of Cross-Site Scripting. Naast deze client-side dreiging zijn er specifieke problemen gemeld bij netwerkbeveiligingsbedrijf Fortinet. De kwetsbaarheid CVE-2025-58034 in FortiWeb maakt het voor geauthenticeerde aanvallers mogelijk om ongeautoriseerde code uit te voeren op het onderliggende systeem door middel van gemanipuleerde HTTP-verzoeken of commando's. Daarnaast kampt Fortinet met een kritiek probleem in de verificatie van cryptografische handtekeningen, aangeduid als CVE-2025-59718. Dit lek treft FortiOS, FortiProxy en FortiSwitchManager en stelt aanvallers in staat om de FortiCloud SSO-authenticatie te omzeilen via een vervalst SAML-bericht.

Ook Apple-gebruikers lopen risico door een ernstig lek in de Return Pointer Authentication Code, bekend als CVE-2025-31201. Deze kwetsbaarheid maakt het mogelijk om pointer-authenticatie te omzeilen en er zijn meldingen dat dit specifieke lek reeds is misbruikt in geavanceerde aanvallen gericht op iOS-apparaten. In de zakelijke sfeer is er tevens een input-neutralisatiefout ontdekt in OrangeHRM-versies 5.0 tot en met 5.7. Onder referentie CVE-2025-66224 kan een aanvaller door dit lek bestanden op de server schrijven, wat kan leiden tot de uitvoering van kwaadaardige inhoud. Op het gebied van serverbeheer is er een privilege-escalatie kwetsbaarheid vastgesteld in de Dropbear SSH-server, aangeduid als CVE-2025-14282, veroorzaakt door een onjuiste afhandeling van permissies bij socket forwarding.

Een zeer ernstige situatie doet zich voor bij WatchGuard Firebox-appliances. Hier is sprake van een zero-day kwetsbaarheid, CVE-2025-14733, in het iked-proces. Dit stelt ongeauthenticeerde aanvallers op afstand in staat om code uit te voeren en de controle over het apparaat over te nemen via IKEv2 VPN-onderhandelingen. Eveneens kritiek, met de hoogst mogelijke ernstscore, is CVE-2025-55182 in React Server Components. Door onveilige deserialisatie in de payload-afhandeling is remote code execution mogelijk. Een vergelijkbaar risico op remote code execution voor niet-geauthenticeerde gebruikers is aanwezig in HPE OneView-software onder CVE-2025-37164. De lijst van trending kwetsbaarheden wordt gecompleteerd door een Cross-Site Scripting lek in Roundcube Webmail. Via de CVE-2025-68461 kwetsbaarheid kan kwaadaardige JavaScript worden uitgevoerd in de browser van het slachtoffer door gebruik te maken van specifieke tags in SVG-documenten.

Overzicht

Wereldwijd zijn ruim 117.000 firewalls van fabrikant WatchGuard vatbaar voor een kritieke kwetsbaarheid waar op dit moment actief misbruik van wordt gemaakt. Onderzoek van The Shadowserver Foundation wijst uit dat ongeauthenticeerde aanvallers misbruik kunnen maken van een zogeheten Out-of-bounds Write kwetsbaarheid in Fireware OS, het besturingssysteem van de apparaten. Door dit lek, geregistreerd onder kenmerk CVE-2025-14733, is het mogelijk om op afstand willekeurige code uit te voeren, wat kan leiden tot de volledige overname van de getroffen netwerkapparatuur.

In de Benelux zijn duizenden systemen nog niet beveiligd tegen deze dreiging. Recente scans laten zien dat er in België 2810 kwetsbare firewalls actief zijn, terwijl het aantal in Nederland op 1760 apparaten staat. Hoewel fabrikant WatchGuard op 18 december reeds beveiligingsupdates beschikbaar heeft gesteld, blijkt de adoptie van deze patches nog niet voltooid. Op 20 december lag het wereldwijde aantal kwetsbare systemen nog op bijna 125.000. Dit aantal is inmiddels gedaald naar ruim 117.000, waarbij de meeste blootgestelde apparaten zich bevinden in de Verenigde Staten, Duitsland en Italië.

WatchGuard heeft bij de publicatie van het beveiligingsbulletin bevestigd dat er aanvallen plaatsvinden, maar heeft geen specifieke details gedeeld over de exacte begindatum van dit misbruik. Wel zijn er Indicators of Compromise gepubliceerd waarmee beheerders kunnen controleren of hun firewall reeds is geïnfecteerd. De huidige situatie vertoont gelijkenissen met een incident in september van dit jaar, waarbij een vergelijkbaar lek onder kenmerk CVE-2025-9242 werd ontdekt. Destijds bleken 76.000 firewalls enkele weken na het verschijnen van de update nog altijd onbeveiligd.

Bron

In de informatiebeveiligingswereld is onrust ontstaan over een recent gepubliceerde kwetsbaarheid met de aanduiding CVE-2025-59374. Diverse beveiligingsmeldingen en krantenkoppen wekken de suggestie dat er sprake is van een actieve of nieuwe dreiging gericht op ASUS Live Update-software. Een diepgaande analyse van de documentatie toont echter aan dat deze registratie verwijst naar een historische aanval op de toeleveringsketen, beter bekend als de ShadowHammer-aanval, die plaatsvond tussen 2018 en 2019. Het betreft hier software die de status End-of-Life heeft bereikt, en geen nieuwe exploitatiegolf.

De verwarring wordt grotendeels veroorzaakt doordat de kwetsbaarheid is toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Hoewel een vermelding op deze lijst vaak duidt op urgente risico’s die onmiddellijke actie vereisen, betekent een toevoeging niet per definitie dat de misbruikactiviteiten op dit moment plaatsvinden. Volgens de richtlijnen van CISA kan elke kwetsbaarheid, ongeacht de leeftijd, aan de catalogus worden toegevoegd zolang er accuraat bewijs is van actieve exploitatie in het verleden of heden. In dit specifieke geval lijkt de toekenning van het CVE-nummer in 2025 een administratieve inhaalslag om de eerdere aanval formeel te documenteren.

De oorspronkelijke aanval, waarbij kwaadwillenden legitieme ASUS Live Update-binaries wisten te manipuleren, richtte zich destijds op een selecte groep systemen. De officiële CVE-omschrijving classificeert het risico als kritiek met een score van 9.3, maar vermeldt expliciet dat de software niet langer ondersteund wordt. ASUS Live Update bereikte volgens eerdere berichten reeds in oktober 2021 het einde van de ondersteuningsperiode. Er zijn geen moderne, ondersteunde apparaten die risico lopen door deze specifieke kwetsbaarheid, tenzij er gebruik wordt gemaakt van verouderde en onveilige softwareversies.

Extra onduidelijkheid ontstond doordat ASUS recentelijk, in december 2025, hun FAQ-pagina over dit onderwerp heeft bijgewerkt. De pagina toont een recente datum, wat de indruk kan wekken dat het om een nieuwe situatie gaat. De inhoud van de pagina verwijst echter nog steeds naar verouderde screenshots uit 2019 en adviseert upgrades naar versies die al jaren beschikbaar zijn. Opvallend is dat de bijgewerkte tekst stelt dat de ondersteuning voor ASUS Live Update op 4 december 2025 is beëindigd, wat in tegenspraak lijkt met eerdere communicatie over een stopzetting in 2021. De laatst genoemde versie, 3.6.15, is eveneens al geruime tijd beschikbaar.

Het formaliseren van deze historische aanval onder een nieuw CVE-nummer in 2025 dient voornamelijk documentatiedoeleinden. Het stelt beveiligingsonderzoekers en organisaties in staat om de ShadowHammer-aanval correct te catalogiseren in moderne systemen. Voor systeembeheerders en beveiligingsteams betekent dit dat de meldingen over CVE-2025-59374 met nuance moeten worden bekeken. Er is geen sprake van een nieuwe aanvalsgolf die acute patching van operationele systemen vereist, maar eerder van een administratieve update over een reeds lang opgelost beveiligingsincident in uitgefaseerde software.

Bron

Onderzoekers van Riot Games hebben een significante kwetsbaarheid ontdekt in de hardware van diverse grote fabrikanten van moederborden, waaronder Gigabyte, MSI, ASRock en ASUS. De kwetsbaarheid, die de naam Sleeping Bouncer heeft gekregen, bevindt zich in de beveiligingsmechanismen die actief zijn voordat een besturingssysteem volledig is opgestart. Het probleem treft een breed scala aan systemen, variërend van computers voor consumenten tot geavanceerde werkstations.

De kern van het probleem ligt bij de Pre-Boot DMA Protection. Dit is een beveiligingsfunctie in de BIOS die moet voorkomen dat externe hardware direct toegang krijgt tot het systeemgeheugen tijdens de eerste fasen van het opstartproces. In de getroffen systemen bleek dat de IOMMU-functie, die fungeert als een digitale toegangscontrole voor het geheugen, niet correct werd geïnitialiseerd tijdens de eerste seconden van het opstarten. Hoewel de BIOS-instellingen aangaven dat de beveiliging actief was, bleef de hardwarematige bescherming feitelijk uitgeschakeld.

Door dit gat in de beveiliging kunnen aanvallers kwaadaardige code injecteren via Direct Memory Access (DMA). Omdat dit gebeurt voordat het besturingssysteem of traditionele beveiligingssoftware geladen is, kan malware met zeer hoge privileges worden uitgevoerd. Deze programma's kunnen zichzelf vervolgens diep in het systeem verbergen, waardoor ze vrijwel onzichtbaar blijven voor beveiligingsscanners die pas later in het proces worden geactiveerd.

Riot Games ontdekte de kwetsbaarheid tijdens onderzoek naar de integriteit van gaming-systemen. Sophos-hardware-cheats maken gebruik van dergelijke zwakheden om detectie door systemen zoals Vanguard te omzeilen. De ontdekking is van belang voor de bredere IT-sector, omdat de fout de effectiviteit van bestaande DMA-detectietechnologieën volledig kon ondermijnen.

De betrokken fabrikanten hebben inmiddels gereageerd door beveiligingsadviezen en BIOS-updates uit te brengen. Deze updates zijn noodzakelijk om de IOMMU-initialisatie te corrigeren en het lek te dichten. Gebruikers van getroffen moederborden wordt geadviseerd de officiële websites van hun fabrikant te raadplegen voor de relevante firmware-updates. Het Vanguard-beveiligingssysteem zal op termijn strengere controles uitvoeren en de toegang tot competitieve spellen beperken voor systemen waarop deze beveiligingslekken niet zijn verholpen.

Bron

In het populaire workflow-automatiseringsplatform n8n is een kritiek beveiligingslek ontdekt dat de hoogst mogelijke risicokwalificaties benadert. De kwetsbaarheid, aangeduid als CVE-2025-68613, heeft een CVSS-score van 9.9 gekregen. Dit lek stelt geauthenticeerde gebruikers in staat om willekeurige code uit te voeren op de server, wat kan leiden tot volledige compromittering van het systeem.

De ontwikkelaars van n8n melden dat het probleem zich voordoet bij de verwerking van expressies die gebruikers invoeren tijdens de configuratie van workflows. Onder bepaalde omstandigheden worden deze expressies geëvalueerd in een uitvoeringsomgeving die onvoldoende is afgeschermd van de onderliggende runtime. Een aanvaller met toegang tot een account kan hiervan misbruik maken om opdrachten uit te voeren met de privileges van het n8n-proces. De gevolgen van een geslaagde aanval zijn ernstig: ongeautoriseerde toegang tot gevoelige data, manipulatie van workflows en de uitvoering van operaties op systeemniveau.

Het lek treft alle versies van n8n vanaf 0.211.0 tot versie 1.120.4. Volgens data van het securityplatform Censys waren er op 22 december 2025 wereldwijd 103.476 potentieel kwetsbare instanties zichtbaar op het internet. De grootste aantallen kwetsbare systemen bevinden zich in de Verenigde Staten, Duitsland, Frankrijk, Brazilië en Singapore. Gezien de hoge adoptiegraad in buurlanden Duitsland en Frankrijk, is waakzaamheid in de Benelux geboden.

Er zijn inmiddels patches beschikbaar gesteld om het lek te dichten. De kwetsbaarheid is verholpen in de versies 1.120.4, 1.121.1 en 1.122.0. Beheerders van n8n-omgevingen wordt geadviseerd deze updates zo spoedig mogelijk door te voeren. Indien direct patchen niet mogelijk is, adviseren experts om de rechten voor het aanmaken en bewerken van workflows strikt te beperken tot vertrouwde gebruikers. Daarnaast kan het risico worden verkleind door de software te isoleren in een omgeving met beperkte systeemrechten en minimale netwerktoegang.

Bron

Er is een kritieke kwetsbaarheid vastgesteld in HPE OneView, het beheerplatform van Hewlett Packard Enterprise voor IT-infrastructuur. De fout, geregistreerd onder kenmerk CVE-2025-37164, heeft de hoogst mogelijke ernstscore van 10.0 gekregen op de CVSS-schaal. Beveiligingsonderzoekers hebben inmiddels een Proof-of-Concept (PoC) exploit en een Metasploit-module gepubliceerd, waardoor de kwetsbaarheid eenvoudig kan worden misbruikt door kwaadwillenden.

De kern van het probleem bevindt zich in de REST API van de ID-Pools component. Door een fout in de configuratie is de authenticatiecontrole voor de parameter die opdrachten verwerkt (executeCommand) uitgeschakeld. Dit stelt ongeautoriseerde aanvallers op afstand in staat om willekeurige code uit te voeren op het systeem zonder dat zij over inloggegevens of een geldig wachtwoord hoeven te beschikken.

Volgens technische analyses van onder andere Rapid7 wordt de kwetsbaarheid veroorzaakt door het ontbreken van autorisatieverificatie bij specifieke PUT-verzoeken naar de API-endpoint. Aanvallers kunnen hierdoor met hoge privileges commando's verzenden, zoals het opzetten van een reverse shell, om de volledige controle over de managementconsole over te nemen.

De kwetsbaarheid treft alle versies van HPE OneView die ouder zijn dan versie 11.0. Uit onderzoek blijkt dat de risico's met name groot zijn voor installaties van HPE OneView voor HPE Synergy en specifieke 6.x-versies van HPE OneView voor virtuele machines (VM's). Aangezien OneView wordt gebruikt voor het beheer van zowel fysieke als virtuele serverparken, kan misbruik leiden tot diepgaande toegang tot de gehele bedrijfsomgeving.

HPE heeft een hotfix uitgebracht die de kwetsbaarheid verhelpt door de toegang tot het betreffende URL-pad binnen de API te blokkeren. Gezien de publieke beschikbaarheid van exploit-code en de kritieke aard van de software, wordt beheerders geadviseerd om de gebruikte versies onmiddellijk te controleren en de beschikbare patches toe te passen om de integriteit van hun infrastructuur te waarborgen.

Bron, 2

Op 24 december 2025 is een kritieke kwetsbaarheid in de M-Files Server geïdentificeerd die directe aandacht vereist van systeembeheerders en organisaties in Nederland en België. Het lek, geregistreerd onder CVE-2025-13008, heeft een hoge ernstscore van 8.6 (CVSS 4.0). De kwetsbaarheid betreft het onbedoeld blootstellen van persoonlijke informatie aan ongeautoriseerde actoren, technisch geclassificeerd als CWE-359.

De volgende softwareversies zijn kwetsbaar en dienen direct te worden bijgewerkt: versie 25.12.15491.7, evenals de Long Term Support (LTS) releases 25.8 LTS SR3, 25.2 LTS SR3 en 24.8 LTS SR5. De zwakheid bevindt zich specifiek in de M-Files Web-interface. Om misbruik te maken van het lek moet een aanvaller reeds over een geauthenticeerd account beschikken. Door het uitvoeren van specifieke cliëntoperaties kan de aanvaller sessietokens van andere actieve gebruikers onderscheppen.

Het beveiligingsrisico is aanzienlijk omdat een aanvaller de identiteit van andere gebruikers kan aannemen. Met de verkregen sessietokens kan de kwaadwillende handelen namens legitieme gebruikers, inclusief het ongeautoriseerd wijzigen van bestanden en documenten. Omdat deze acties worden uitgevoerd onder de gestolen identiteit, is het achteraf zeer moeilijk vast te stellen welke gebruiker verantwoordelijk was voor de wijzigingen. Dit heeft een grote impact op de vertrouwelijkheid, integriteit en beschikbaarheid van de data binnen het systeem.

Er wordt dringend geadviseerd om updates voor de getroffen systemen met de hoogste prioriteit te installeren na een gedegen testfase. Daarnaast is het noodzakelijk om de monitoring en detectie binnen de netwerkomgeving op te schalen om eventuele verdachte activiteiten die duiden op misbruik te herkennen. Hoewel het patchen bescherming biedt tegen nieuwe aanvallen, worden eventuele eerdere inbreuken die vóór de update hebben plaatsgevonden hiermee niet ongedaan gemaakt.

Bron

MongoDB heeft een dringende waarschuwing afgegeven aan systeembeheerders met betrekking tot een ernstig beveiligingslek dat aanvallers de mogelijkheid biedt om op afstand code uit te voeren. De kwetsbaarheid wordt aangeduid als CVE-2025-14847 en heeft een hoge ernstgraad gekregen. Dit lek stelt ongeauthenticeerde kwaadwillenden in staat om via een aanval met lage complexiteit de controle over een server over te nemen zonder dat er enige interactie van een gebruiker vereist is.

Het technische defect vloeit voort uit een onjuiste afhandeling van lengteparameters in de zlib-gecomprimeerde protocolheaders. Door deze inconsistentie kan een exploit leiden tot het retourneren van ongeïnitialiseerd heap-geheugen. Dit proces vindt plaats voordat er enige vorm van authenticatie bij de server hoeft te worden uitgevoerd, waardoor de drempel voor misbruik laag ligt en potentieel gevoelige gegevens uit het geheugen kunnen lekken.

De impact van CVE-2025-14847 strekt zich uit over een breed scala aan softwareversies. Kwetsbare systemen omvatten de reeksen van MongoDB 8.2.0 tot 8.2.3, 8.0.0 tot 8.0.16, 7.0.0 tot 7.0.26, 6.0.0 tot 6.0.26, 5.0.0 tot 5.0.31 en 4.4.0 tot 4.4.29. Daarnaast worden alle versies van MongoDB Server v4.2, v4.0 en v3.6 als kwetsbaar beschouwd. Beheerders krijgen het dringende advies om systemen direct bij te werken naar de gecorrigeerde versies: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 of 4.4.30.

Wanneer een onmiddellijke upgrade van de infrastructuur niet realiseerbaar is, bestaat er een tijdelijke mitigatiemaatregel. Gebruikers kunnen de zlib-compressie op de MongoDB-server uitschakelen. Dit kan worden gedaan door de mongod- of mongos-processen op te starten met configuratie-opties waarbij zlib expliciet uit de lijst met netwerkcompressoren wordt weggelaten via de parameters 'networkMessageCompressors' of 'net.compression.compressors'.

Gezien de omvang van de huidige gebruikersbasis, die meer dan 62.500 klanten wereldwijd omvat, is het risico op exploitatie aanzienlijk bij het uitblijven van preventieve maatregelen. Eerdere vergelijkbare RCE-kwetsbaarheden in MongoDB zijn in het verleden reeds door overheidsinstanties zoals CISA aangemerkt als actief misbruikt, wat de noodzaak voor snelle patching onderstreept.

Bron

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ernstige kwetsbaarheid in de Digiever DS-2105 Pro netwerk videorecorders (NVR) toegevoegd aan de lijst van actief misbruikte lekken. De kwetsbaarheid stelt aanvallers in staat om op afstand commando's uit te voeren op de systemen. Onderzoek wijst uit dat cybercriminelen het lek momenteel gebruiken om apparaten op te nemen in botnets zoals Mirai en ShadowV2.

Het lek, geregistreerd onder kenmerk CVE-2023-52163, heeft een CVSS-score van 8.8. De fout bevindt zich in de verwerking van autorisaties binnen het onderdeel time_tzsetup.cgi. Hoewel een aanvaller in de basis over inloggegevens moet beschikken om het lek te misbruiken, waarschuwen experts dat dit in de praktijk vaak gebeurt via standaardwachtwoorden of eerder buitgemaakte gegevens. Eenmaal binnen kan een aanvaller met een speciaal geformatteerd verzoek volledige controle over de recorder verkrijgen.

Een kritiek punt voor beheerders en eigenaren is de status van de hardware. De Digiever DS-2105 Pro heeft de end-of-life status bereikt. Dit houdt in dat de fabrikant geen beveiligingsupdates meer ontwikkelt of beschikbaar stelt. Omdat er geen patches komen voor CVE-2023-52163 en het bijbehorende lek CVE-2023-52164 (ongeoorloofd lezen van bestanden), blijven deze apparaten permanent kwetsbaar zolang zij direct verbonden zijn met het internet.

Gezien het actieve misbruik door botnet-operators wordt dringend geadviseerd om de getroffen NVR-systemen onmiddellijk achter een firewall te plaatsen en de toegang vanaf het publieke internet af te sluiten. Daarnaast is het noodzakelijk om standaard gebruikersnamen en wachtwoorden te wijzigen. Voor organisaties die vallen onder strikte beveiligingsrichtlijnen is het advies om het gebruik van deze verouderde apparatuur volledig te beëindigen, aangezien effectieve mitigatie zonder softwarematige patches beperkt blijft.

Bron

Fortinet heeft op 24 december 2025 een officiële waarschuwing afgegeven over het actieve misbruik van een kritiek beveiligingslek in FortiOS SSL VPN. Het betreft de kwetsbaarheid CVE-2020-12812, een fout in het authenticatieproces die aanvallers in staat stelt de tweestapsverificatie te omzeilen. Hoewel de kwetsbaarheid al in 2020 werd geïdentificeerd en gepatcht, rapporteert de fabrikant dat diverse dreigingsactoren momenteel actief proberen systemen aan te vallen die nog steeds een kwetsbare configuratie hanteren.

De kwetsbaarheid bevindt zich in de manier waarop FortiOS omgaat met gebruikersnamen in combinatie met een externe LDAP-directory. Het probleem ontstaat door een verschil in hoofdlettergevoeligheid: waar de FortiGate-omgeving gebruikersnamen als hoofdlettergevoelig beschouwt, doet de LDAP-server dat doorgaans niet. Wanneer een aanvaller een gebruikersnaam invoert met een afwijkende schrijfwijze wat betreft hoofdletters, herkent de FortiGate dit niet als de specifieke lokale gebruiker waarvoor 2FA is geactiveerd. Als gevolg hiervan valt het systeem terug op een secundair geconfigureerd authenticatiebeleid, zoals een LDAP-groep. Hierdoor wordt de gebruiker direct tegen de LDAP-server geauthenticeerd zonder dat de tweede verificatiefactor wordt opgevraagd.

Voor een succesvolle exploitatie van dit lek moet aan specifieke configuratievoorwaarden worden voldaan. Er moet sprake zijn van lokale gebruikersrecords op de FortiGate met ingeschakelde 2FA die verwijzen naar LDAP, en deze gebruikers moeten lid zijn van een groep op de LDAP-server die eveneens op de FortiGate is geconfigureerd voor een authenticatiebeleid, zoals voor SSL- of IPsec VPN-toegang. Wanneer aan deze voorwaarden is voldaan, kunnen zowel VPN-gebruikers als beheerdersaccounts zonder de vereiste extra beveiligingsstap toegang krijgen tot het netwerk.

Fortinet adviseert organisaties die nog gebruikmaken van verouderde softwareversies om direct te upgraden naar FortiOS 6.0.10, 6.2.4, 6.4.1 of hogere versies. Voor systemen waarbij een directe upgrade niet mogelijk is, kan het risico worden beperkt door de hoofdlettergevoeligheid handmatig uit te schakelen via de Command Line Interface. Bij versies zoals 6.0.13, 6.2.10, 6.4.7 en 7.0.1 of hoger dient hiervoor het commando set username-sensitivity disable te worden gebruikt. Hierdoor worden alle variaties van een gebruikersnaam als identiek behandeld, wat het onbedoeld passeren van de 2FA-controle verhindert.

Het bedrijf benadrukt dat organisaties die aanwijzingen vinden van ongeoorloofde logins zonder 2FA-bevestiging onmiddellijk contact moeten opnemen met Fortinet Support en alle inloggegevens moeten resetten. Hoewel de specifieke actoren achter de huidige aanvalsgolf niet bij naam zijn genoemd, is bekend dat deze kwetsbaarheid in het verleden op grote schaal is gebruikt bij aanvallen op netwerkrandapparatuur.

Bron

In het veelgebruikte AI-framework LangChain Core is een kritieke kwetsbaarheid ontdekt die aanvallers in staat stelt om gevoelige gegevens te ontvreemden. De kwetsbaarheid, geregistreerd onder CVE-2025-68664 met een CVSS-score van 9.3, treft de kern van de infrastructuur die wordt gebruikt om applicaties te bouwen op basis van grote taalmodellen. Het lek maakt het mogelijk om via specifieke manipulaties toegang te krijgen tot geheime sleutels en om de respons van taalmodellen te beïnvloeden.

De technische oorzaak ligt bij een fout in de serialisatie-injectie binnen de functies dumps en dumpd. Deze functies slagen er niet in om dictionaries met 'lc'-sleutels correct te escapen wanneer vrije-vorm data wordt verwerkt. In de architectuur van LangChain wordt de 'lc'-sleutel intern gebruikt om geserialiseerde objecten te markeren. Wanneer een aanvaller erin slaagt om data met deze structuur in een systeem te loodsen, wordt deze bij het uitlezen behandeld als een legitiem LangChain-object in plaats van als reguliere gebruikersdata.

Dit proces kan leiden tot de onmiddellijke blootstelling van omgevingsvariabelen en geheime sleutels, zeker wanneer systemen zodanig zijn geconfigureerd dat zij automatisch geheimen uit de omgeving laden. Daarnaast kunnen kwaadwillenden klassen instantiëren binnen vertrouwde naamruimten van het framework of zelfs willekeurige code uitvoeren via Jinja2-templates. De fout kan worden misbruikt via prompt injection, waarbij de kwaadaardige objectstructuren worden geïnjecteerd via metadata of andere velden die door de gebruiker controleerbaar zijn.

De ontwikkelaars hebben inmiddels patches uitgebracht die de standaardbeveiliging aanzienlijk aanscherpen. In de nieuwe versies is een allowlist geïntroduceerd waarmee gebruikers handmatig moeten aangeven welke klassen geserialiseerd mogen worden. Bovendien is de automatische extractie van geheimen uit de omgeving nu standaard uitgeschakeld en worden Jinja2-templates geblokkeerd.

De kwetsbaarheid treft de volgende Python-versies van langchain-core:

• Versies vanaf 1.0.0 tot 1.2.5 (opgelost in 1.2.5)
• Versies onder 0.3.81 (opgelost in 0.3.81)

Daarnaast is een vergelijkbaar lek, CVE-2025-68665, vastgesteld in de JavaScript-variant van het framework. Dit treft de npm-pakketten @langchain/core en de hoofdlibrary langchain. Gebruikers van deze pakketten dienen eveneens te updaten naar de meest recente versies om de risico's te mitigeren. Het incident onderstreept dat de output van taalmodellen in een technische keten altijd als onvertrouwde input moet worden beschouwd.

Bron

Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht waarin wordt gewaarschuwd voor het aanstaande misbruik van een lek in MongoDB. Deze kwetsbaarheid staat technisch bekend als CVE-2025-14847 en heeft in de beveiligingssector de naam MongoBleed gekregen. De ernst van het probleem wordt onderstreept door een score van 8.7 op een schaal van 10, wat wijst op een aanzienlijke impact voor de veiligheid van digitale systemen en data.

De kwetsbaarheid bevindt zich in de manier waarop de database-software omgaat met specifieke protocolheaders die via Zlib zijn gecomprimeerd. Door een onjuiste verwerking van lengteparameters kan een ongeauthenticeerde gebruiker op afstand het ongeïnitialiseerde heapgeheugen van de server uitlezen. Dit stelt aanvallers in staat om vertrouwelijke informatie te stelen die in het geheugen aanwezig is, zoals sessietokens, inloggegevens en andere persoonlijke data. Omdat MongoDB op grote schaal wordt ingezet door diverse organisaties en websites voor dataopslag, is de potentiële reikwijdte van dit probleem omvangrijk.

Hoewel er reeds een beveiligingsupdate beschikbaar is gesteld om het lek te dichten, is de dreiging toegenomen doordat proof-of-concept exploitcode inmiddels online is gepubliceerd. Deskundigen geven aan dat de methode om misbruik te maken van het lek eenvoudig uitvoerbaar is, wat de kans op grootschalige incidenten vergroot. Het NCSC benadrukt dat actief misbruik van de kwetsbaarheid op korte termijn wordt verwacht nu de technische details van de aanvalsmethode breed bekend zijn geworden.

Bron, 2

Voor het identificeren van ongeoorloofde toegang tot MongoDB-databases is een open-source detectietool gepubliceerd. Deze tool richt zich specifiek op de kwetsbaarheid CVE-2025-14847, ook bekend als MongoBleed. Dit beveiligingslek stelt onbevoegden in staat om zonder authenticatie gevoelige informatie uit het servergeheugen te extraheren. Hieronder vallen inloggegevens, sessietokens en persoonsgegevens die direct uit het actieve geheugen van de database worden gelezen.

De kwetsbaarheid bevindt zich in het zlib-decompressiemechanisme van de software. Het treft een breed scala aan versies, variërend van 4.4 tot en met 8.2.2. Statistieken wijzen uit dat ongeveer 42 procent van de cloudomgevingen wereldwijd minstens één kwetsbare instantie huisvest, wat neerkomt op circa 87.000 publiek toegankelijke systemen.

Technische werking van de detectie

De MongoBleed Detector is een instrument dat offline werkt via de command-line. Het analyseert JSON-logbestanden van MongoDB om sporen van exploitatie te vinden. De werking is gebaseerd op het correleren van drie specifieke loggebeurtenissen: de geaccepteerde verbinding (ID 22943), de client-metadata (ID 51800) en de verbroken verbinding (ID 22944).

Legitieme database-drivers sturen direct na het maken van een verbinding metadata naar de server. Bij een aanval via de MongoBleed-methode wordt er wel verbinding gemaakt, maar ontbreken deze metadata volledig terwijl er direct data worden onttrokken. De tool identificeert verdachte activiteiten door te zoeken naar een combinatie van een ontbrekende metadata-ID, korte sessieduur en een extreem hoog aantal verbindingen vanaf één IP-adres, soms oplopend tot meer dan 100.000 pogingen per minuut.

Kenmerken van de tool en risicoclassificatie

Het analyse-instrument is geschikt voor zowel IPv4- als IPv6-netwerken en kan direct gecomprimeerde logbestanden verwerken. Gevonden dreigingen worden onderverdeeld in vier risicocategorieën: HIGH, MEDIUM, LOW en INFO. Daarnaast biedt de tool een forensische modus waarmee bewijsmateriaal van meerdere hosts gelijktijdig geanalyseerd kan worden. Voor beheerders van grotere infrastructuren is er een Python-wrapper beschikbaar die scans via SSH op afstand kan uitvoeren op meerdere database-instanties.

Overzicht van kwetsbare en herstelde versies

Om de kwetsbaarheid te verhelpen, dienen beheerders hun systemen te updaten naar de officieel gepatchte versies. De onderstaande tabel geeft de kwetsbare trajecten en de bijbehorende veilige versies weer:

MongoDB Versie | Kwetsbaar bereik | Veilige versie (of later)

4.4 | 4.4.0 – 4.4.29 | 4.4.30

5.0 | 5.0.0 – 5.0.31 | 5.0.32

6.0 | 6.0.0 – 6.0.26 | 6.0.27

7.0 | 7.0.0 – 7.0.27 | 7.0.28

8.0 | 8.0.0 – 8.0.16 | 8.0.17

8.2 | 8.2.0 – 8.2.2 | 8.2.3

Indien een directe update niet mogelijk is, wordt als preventieve maatregel geadviseerd om de zlib-compressie in de database-instellingen te deactiveren. Het gebruik van de detector wordt aanbevolen om vast te stellen of er in het verleden reeds sprake is geweest van een datalek via deze methode.

Bron

Er is een kritieke kwetsbaarheid vastgesteld in de SmarterMail-serversoftware van ontwikkelaar SmarterTools. Het beveiligingslek is geregistreerd onder kenmerk CVE-2025-52691 en heeft de maximale CVSS-score van 10.0 toegekend gekregen. Deze classificatie duidt op een uitzonderlijk hoog risico voor organisaties die gebruikmaken van deze mailservertechnologie. De kwetsbaarheid is aanwezig in alle installaties van de software met een versienummer lager dan build 9413.

Het specifieke probleem betreft een fout in de verwerking van bestandsuploads, waardoor een aanvaller zonder inloggegevens willekeurige bestanden op de server kan plaatsen. Doordat er geen authenticatie of gebruikersinteractie vereist is, kan een kwaadwillende op afstand bestanden wegschrijven naar locaties buiten de daarvoor bestemde mappen. Dit maakt het mogelijk om kwaadaardige software of web shells op het systeem te installeren, die vervolgens worden uitgevoerd met de rechten van de maildienst. Dit kan leiden tot het uitvoeren van externe code op de host.

De impact van deze kwetsbaarheid is aanzienlijk omdat mailservers door hun aard direct verbonden zijn met het internet om e-mailverkeer te ontvangen. Een geslaagde aanval kan resulteren in een volledige overname van de server, wat de vertrouwelijkheid, integriteit en beschikbaarheid van de data ondermijnt. Daarnaast kunnen gecompromitteerde systemen worden ingezet voor secundaire aanvallen, zoals het versturen van spam, het uitvoeren van phishingcampagnes of het verkrijgen van toegang tot andere delen van het netwerk. Er is op dit moment geen bewijs dat er publieke exploitcode beschikbaar is, maar de technische aard van het lek maakt preventief handelen noodzakelijk.

Beheerders van getroffen systemen wordt geadviseerd om met de hoogste prioriteit updates te installeren om misbruik te voorkomen. Het patchen van de software dicht het lek voor toekomstige pogingen tot exploitatie, maar herstelt geen schade van eventuele eerdere inbreuken. Daarom is het noodzakelijk om naast het updaten ook de monitoring- en detectiesystemen op te schalen. Verdachte activiteiten rondom de mailserver dienen te worden onderzocht om vast te stellen of er sprake is geweest van ongeautoriseerde toegang voorafgaand aan de installatie van de beveiligingsupdate.

Bron, 2

The Shadowserver Foundation waarschuwt voor een omvangrijke beveiligingsdreiging waarbij wereldwijd ongeveer 75.000 MongoDB-servers die verbonden zijn met het internet, kwetsbaar zijn voor datadiefstal. De kwetsbaarheid, bekend als CVE-2025-14847 of 'MongoBleed', stelt aanvallers in staat om zonder inloggegevens gevoelige informatie rechtstreeks uit het werkgeheugen van de server te onttrekken. In de Benelux is de impact groot: er zijn 1600 mogelijk kwetsbare servers in Nederland en circa 1800 in België gedetecteerd.

Het lek bevindt zich in de zlib-compressielogica van de database-software. Omdat dit proces plaatsvindt voordat een gebruiker wordt geauthenticeerd, kan een ongeautoriseerde aanvaller door het sturen van gemanipuleerde netwerkpakketten fragmenten van het servergeheugen uitlezen. Hierin kunnen zich wachtwoorden, sessietokens, API-sleutels en persoonlijke gegevens van gebruikers bevinden. Internationale autoriteiten in onder andere de Verenigde Staten en Australië bevestigen dat er op dit moment op grote schaal actief misbruik wordt gemaakt van dit lek.

Uit technische analyses blijkt dat de kwetsbaarheid al sinds mei 2017 in de code van MongoDB aanwezig is. Hoewel er inmiddels beveiligingsupdates beschikbaar zijn (versies 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 en 4.4.30), wijst onderzoek uit dat ongeveer 95% van de via internet toegankelijke systemen nog niet is bijgewerkt. Voor beheerders die niet direct kunnen patchen, is de enige effectieve tijdelijke maatregel het uitschakelen van zlib-compressie in de configuratie of het blokkeren van de toegang tot de databasepoort (standaard 27017) voor onbekende IP-adressen.

Experts benadrukken dat de eenvoud van de exploitatie het risico voor organisaties in Nederland en België extreem hoog maakt. Omdat de software vaak wordt gebruikt voor grootschalige dataopslag in cloudomgevingen, kan een succesvolle aanval direct leiden tot omvangrijke datalekken en vervolgincidenten zoals identiteitsfraude of ransomware-aanvallen.

Bron

Een kritieke kwetsbaarheid in de SXZOS-firmware van fabrikant XSpeeder stelt wereldwijd meer dan 70.000 hosts bloot aan aanvalsmogelijkheden. Het beveiligingslek, geregistreerd onder CVE-2025-54322, heeft een CVSS-score van 9.8 en treft met name SD-WAN-appliances, edge-routers en controllers voor smart-tv's. De betreffende apparatuur wordt veelvuldig ingezet in industriële omgevingen en bij nevenvestigingen van organisaties voor het beheer van netwerkinfrastructuur.

De kwetsbaarheid maakt ongeauthenticeerde Remote Code Execution (RCE) mogelijk met root-privileges. Dit betekent dat een aanvaller op afstand volledige controle over het apparaat kan verkrijgen zonder over inloggegevens te beschikken. Het probleem bevindt zich in het op Django gebaseerde webframework van de firmware, specifiek bij het eindpunt /webInfos/. De software faalt in het valideren van drie specifieke queryparameters, waarbij een eval-functie wordt gebruikt op base64-gecodeerde invoer van de gebruiker.

Onderzoek heeft uitgewezen dat beveiligingsmechanismen in de middleware en Nginx-lagen, zoals een tijdgesynchroniseerde nonce-header en controles op sessiecookies, kunnen worden omzeild door een specifiek geformuleerd HTTP GET-verzoek. Door kwaadaardige Python-code te versleutelen in de chkid-parameter, kan een aanvaller direct opdrachten uitvoeren op het onderliggende besturingssysteem.

Ondanks een proces van gecoördineerde openbaarmaking dat zeven maanden heeft geduurd, heeft de fabrikant XSpeeder niet gereageerd op de bevindingen van beveiligingsonderzoekers. Bij gebrek aan officiële beveiligingsupdates zijn organisaties aangewezen op eigen mitigerende maatregelen. Geadviseerd wordt om de toegang tot beheersinterfaces strikt te beperken, netwerksegmentatie toe te passen en netwerkverkeer te controleren op verdachte activiteiten die duiden op misbruik van dit lek.

Bron 1

IBM heeft een dringende beveiligingswaarschuwing gepubliceerd voor gebruikers van het API Connect-platform. In de software is een kritieke kwetsbaarheid aangetroffen die aanvallers in staat stelt de authenticatiemechanismen volledig te omzeilen. API Connect wordt wereldwijd breed ingezet binnen de bancaire sector, gezondheidszorg, detailhandel en telecommunicatie voor het beheer van API-gateways en de toegang tot interne diensten.

De kwetsbaarheid is geregistreerd onder CVE-2025-13915 en heeft een CVSS-score van 9,8 op 10 gekregen, wat duidt op een zeer hoog risico. Het lek bevindt zich in IBM API Connect versie 10.0.11.0 en de versies 10.0.8.0 tot en met 10.0.8.5. Volgens de technische specificaties kan een ongeauthenticeerde aanvaller op afstand toegang verkrijgen tot blootgestelde applicaties. Voor een succesvolle exploitatie is geen interactie van een gebruiker vereist en de aanval wordt geclassificeerd als laag in complexiteit.

Systeembeheerders wordt geadviseerd de getroffen installaties onmiddellijk te upgraden naar de beschikbare gepatchte versies. Indien een directe update niet mogelijk is, adviseert IBM als tijdelijke maatregel om de 'self-service sign-up'-functionaliteit op het Developer Portal uit te schakelen. Dit minimaliseert het aanvalsoppervlak. Voor specifieke implementaties in VMware-, OCP- en Kubernetes-omgevingen heeft de leverancier technische documentatie beschikbaar gesteld.

Hoewel er voor dit specifieke lek nog geen meldingen zijn van actief misbruik, wordt de ernst onderstreept door eerdere incidenten met enterprise-software van IBM. In het verleden heeft het Amerikaanse CISA diverse kwetsbaarheden in IBM-producten, zoals Aspera Faspex en InfoSphere BigInsights, gemarkeerd als actief misbruikt in ransomware-campagnes. Gezien de centrale rol van API Connect in bedrijfsnetwerken is snelle mitigatie essentieel.

Bron 1, 2